Konfiguracja rekordu CAA w DNS-ie
CAA to akronim od Certification Authority Authorization. CAA jest rekordem DNS określającym, który z wystawców (Urzędów Certyfikacji) może wystawić certyfikat SSL dla określonej domeny. Od września 2017 roku każdy z Urzędów Certyfikacji będącym członkiem CA/Browser Forum zobowiązany jest do weryfikacji rekordu DNS CAA przed wystawieniem certyfikatu SSL.
Rekord CAA jest ustandaryzowany, a pełna specyfikacja znajduje się w RFC 6844.
Odpytywanie serwera DNS o rekord CAA
Aby sprawdzić rekordy CAA dla określonej domeny, użyj polecenia dig:
dig moja-domena.pl caaPrzykładowy wynik działania polecenia dig:
Brak rekordu CAA w DNS-ie:
moja-domena.pl. IN CAABrak rekordów CAA oznacza, że każdy z Urzędów Certyfikacji jest uprawniony do wystawienia certyfikatów SSL dla domeny.
Rekord CAA istnieje w DNS-ie:
moja-domena.pl. 600 IN CAA 0 issue "digicert.com"
moja-domena.pl. 600 IN CAA 0 issuewild "digicert.com"
moja-domena.pl. 600 IN CAA 0 iodef "mailto:mail@example.com"
W powyższym przypadku w do wystawienia certyfikatu uprawniony jest jedynie DigiCert. Powyższy rekord CAA umożliwia wystawienie certyfikatów SSL tylko dla następujących wystawców: DigiCert, Symantec, Thawte, GeoTrust i RapidSSL (DigiCert jest właścicielem marek Symantec, Thawte, GeoTrust i RapidSSL). Pozostali wystawcy, np. comodo.com, certum.pl nie są uprawnieni do wystawienia certyfikatu SSL dla domeny.
Znaczenie tagów issue, issuewild i iodef
Każdy rekord CAA składa się z flagi (wartość od 0 do 255), tagu (np. issue) i wartości przypisanej do tagu (np. digicert.com).
- Tag
issueinformuje wystawcę (w tym przypadku digicert.com), że może wystawiać certyfikaty SSL dla pojedynczych nazw hostów w domenie moja-domena.pl. Np. www.moja-domena.pl, mail.moja-domena.pl, panel.moja-domena.pl. - Tag
issuewildinformuje wystawcę (w tym przypadku digicert.com), że może wystawiać certyfikaty SSL typu Wildcard, np. *.moja-domena.pl. - Tag
iodefmoże zawierać adres e-mail lub URL. W przypadku gdy nieupoważniony wystawca (w tym przypadku każdy inny od digicert.com) otrzyma prośbę o wystawienie certyfikatu SSL, zobowiązany jest wysłać komunikat o takim zdarzeniu pod zdefiniowany w taguiodefadres e-mail lub URL.