Konfiguracja rekordu CAA w DNS-ie

30.10.2023

CAA to akronim od Certification Authority Authorization. CAA jest rekordem DNS określającym, który z wystawców (Urzędów Certyfikacji) może wystawić certyfikat SSL dla określonej domeny. Od września 2017 roku każdy z Urzędów Certyfikacji będącym członkiem CA/Browser Forum zobowiązany jest do weryfikacji rekordu DNS CAA przed wystawieniem certyfikatu SSL.

Rekord CAA jest ustandaryzowany, a pełna specyfikacja znajduje się w RFC 6844.

Odpytywanie serwera DNS o rekord CAA

Aby sprawdzić rekordy CAA dla określonej domeny, użyj polecenia dig:

dig moja-domena.pl caa

Przykładowy wynik działania polecenia dig:

Brak rekordu CAA w DNS-ie:

moja-domena.pl.  IN  CAA

Brak rekordów CAA oznacza, że każdy z Urzędów Certyfikacji jest uprawniony do wystawienia certyfikatów SSL dla domeny.

Rekord CAA istnieje w DNS-ie:

moja-domena.pl.  3600  IN  CAA  0  issue  "digicert.com"
moja-domena.pl.  3600  IN  CAA  0  issuewild  "digicert.com"
moja-domena.pl.  3600  IN  CAA  0  iodef "mailto:mail@example.com"

W powyższym przypadku w do wystawienia certyfikatu uprawniony jest jedynie DigiCert. Powyższy rekord CAA umożliwia wystawienie certyfikatów SSL tylko dla następujących wystawców: DigiCert, Thawte, GeoTrust i RapidSSL (DigiCert jest właścicielem marek Thawte, GeoTrust i RapidSSL). Pozostali wystawcy, np. comodo.com, certum.pl nie są uprawnieni do wystawienia certyfikatu SSL dla domeny.

Znaczenie tagów issue, issuewild i iodef

Każdy rekord CAA składa się z flagi (wartość od 0 do 255), tagu (np. issue) i wartości przypisanej do tagu (np. digicert.com).

• Tag issue informuje wystawcę (w tym przypadku digicert.com), że może wystawiać certyfikaty SSL dla pojedynczych nazw hostów w domenie moja-domena.pl. Np. www.moja-domena.pl, mail.moja-domena.pl, panel.moja-domena.pl.
• Tag issuewild informuje wystawcę (w tym przypadku digicert.com), że może wystawiać certyfikaty SSL typu Wildcard, np. *.moja-domena.pl. Ważne! Jeżeli Twój certyfikat typu Wildcard będzie również ważny dla głównej domeny (np. moja-domena.pl, musisz również dodać tag issue analogicznie, jak dla pojedynczego certyfikatu.
• Tag iodef może zawierać adres e-mail lub URL. Tag opcjonalny. W przypadku gdy nieupoważniony wystawca (w tym przypadku każdy inny od digicert.com) otrzyma prośbę o wystawienie certyfikatu SSL, zdefiniowany wcześniej wystawca może wysłać komunikat o takim zdarzeniu pod zdefiniowany w tagu iodef adres e-mail lub URL.

System wystawcy w zautomatyzowany sposób sprawdza poprawność konfiguracji rekordów CAA. Jeżeli konfiguracja jest prawidłowa, to certyfikat SSL zostanie wystawiony do ok. godziny od momentu zaktualizowania rekordów CAA w DNS-ie.

Gdy zamawiasz certyfikat SSL dla pojedynczej nazwy hosta (nie-wildcard)

W DNS-ie dodaj jeden rekord issue:

moja-domena.pl.  IN  CAA 0  issue  "digicert.com"

Gdy zamawiasz certyfikat SSL typu wildcard (np. *.moja-domena.pl)

W DNS-ie dodaj dwa rekordy, issue i issuewild:

moja-domena.pl.  IN  CAA 0  issue  "digicert.com"

moja-domena.pl.  IN  CAA 0  issuewild  "digicert.com"