Konfiguracja rekordu CAA w DNS-ie
30.10.2023
CAA to akronim od Certification Authority Authorization. CAA jest rekordem DNS określającym, który z wystawców (Urzędów Certyfikacji) może wystawić certyfikat SSL dla określonej domeny. Od września 2017 roku każdy z Urzędów Certyfikacji będącym członkiem CA/Browser Forum zobowiązany jest do weryfikacji rekordu DNS CAA przed wystawieniem certyfikatu SSL.
Rekord CAA jest ustandaryzowany, a pełna specyfikacja znajduje się w RFC 6844.
Odpytywanie serwera DNS o rekord CAA
Aby sprawdzić rekordy CAA dla określonej domeny, użyj polecenia dig
:
dig moja-domena.pl caa
Przykładowy wynik działania polecenia dig:
Brak rekordu CAA w DNS-ie:
moja-domena.pl. IN CAA
Brak rekordów CAA oznacza, że każdy z Urzędów Certyfikacji jest uprawniony do wystawienia certyfikatów SSL dla domeny.
Rekord CAA istnieje w DNS-ie:
moja-domena.pl. 3600 IN CAA 0 issue "digicert.com"
moja-domena.pl. 3600 IN CAA 0 issuewild "digicert.com"
moja-domena.pl. 3600 IN CAA 0 iodef "mailto:mail@example.com"
W powyższym przypadku w do wystawienia certyfikatu uprawniony jest jedynie DigiCert. Powyższy rekord CAA umożliwia wystawienie certyfikatów SSL tylko dla następujących wystawców: DigiCert, Thawte, GeoTrust i RapidSSL (DigiCert jest właścicielem marek Thawte, GeoTrust i RapidSSL). Pozostali wystawcy, np. comodo.com, certum.pl nie są uprawnieni do wystawienia certyfikatu SSL dla domeny.
Znaczenie tagów issue, issuewild i iodef
Każdy rekord CAA składa się z flagi (wartość od 0 do 255), tagu (np. issue
) i wartości przypisanej do tagu (np. digicert.com
).
- Tag
issue
informuje wystawcę (w tym przypadku digicert.com), że może wystawiać certyfikaty SSL dla pojedynczych nazw hostów w domenie moja-domena.pl. Np. www.moja-domena.pl, mail.moja-domena.pl, panel.moja-domena.pl. - Tag
issuewild
informuje wystawcę (w tym przypadku digicert.com), że może wystawiać certyfikaty SSL typu Wildcard, np. *.moja-domena.pl. Ważne! Jeżeli Twój certyfikat typu Wildcard będzie również ważny dla głównej domeny (np. moja-domena.pl, musisz również dodać tagissue
analogicznie, jak dla pojedynczego certyfikatu. - Tag
iodef
może zawierać adres e-mail lub URL. Tag opcjonalny. W przypadku gdy nieupoważniony wystawca (w tym przypadku każdy inny od digicert.com) otrzyma prośbę o wystawienie certyfikatu SSL, zdefiniowany wcześniej wystawca może wysłać komunikat o takim zdarzeniu pod zdefiniowany w taguiodef
adres e-mail lub URL.
System wystawcy w zautomatyzowany sposób sprawdza poprawność konfiguracji rekordów CAA. Jeżeli konfiguracja jest prawidłowa, to certyfikat SSL zostanie wystawiony do ok. godziny od momentu zaktualizowania rekordów CAA w DNS-ie.
Gdy zamawiasz certyfikat SSL dla pojedynczej nazwy hosta (nie-wildcard)
W DNS-ie dodaj jeden rekord issue
:
moja-domena.pl. IN CAA 0 issue "digicert.com"
Gdy zamawiasz certyfikat SSL typu wildcard (np. *.moja-domena.pl)
W DNS-ie dodaj dwa rekordy, issue
i issuewild
:
moja-domena.pl. IN CAA 0 issue "digicert.com"
moja-domena.pl. IN CAA 0 issuewild "digicert.com"