SSLmentor

Kvalitné TLS/SSL certifikáty pre webové stránky a internetové projekty.

CAA

CAA

Ako nastaviť CAA záznamy

Záznam CAA umožňuje majiteľom/správcom domény deklarovať, ktoré certifikačné autority môžu pre doménu vydať SSL certifikát. Záznamy umožňujú tiež nastaviť pravidlá oznámenia v prípade, že niekto požiada o certifikát od neautorizovanej certifikačnej autority. Umiestnenie CAA záznamov do DNS domény je ďalšou z možností ako posilniť bezpečnosť na internete.

Čo je to CAA záznam?

CAA záznam (Certification Authority Authorization) je záznam v DNS zóne pri doméne, ktorý hovorí aká certifikačná autorita má povolené vystavovať SSL certifikáty k doméne. Ak nie je v DNS uvedený žiadny záznam CAA, môže každá certifikačná autorita pre danú doménu vydať certifikát. Ak je prítomný záznam CAA, smú vydať certifikáty pre doménu iba certifikačné autority uvedené v záznamoch. Záznamy CAA môžu nastaviť zásady pre celú doménu alebo pre určité názvy. Záznamy CAA sú tiež dedené subdoménami, preto záznam CAA vložený do domenyxyz.sk bude platný aj na akúkoľvek subdoménu, napríklad na subdomeny.domenaxyz.sk.

CAA záznamy jsou specifikovány v RFC 6844.
V marci 2017 bola povinnosť kontrolovať CAA záznamy u domény odhlasovaná v združení CAB fórum a od 8. septembra 2017 sú povinné všetky verejné certifikačné autority pred vydaním certifikátu kontrolovať u domén CAA záznamy a žiadosť o certifikát odmietnuť, pokiaľ CAA záznam existuje a certifikačná autorita tu nie je uvedená.

Parametre záznamu

Parameter <tag> „issue“ umožňuje vystavenie všetkých druhov certifikátov certifikačnej autority.
Parameter „issuewild“ umožňuje povoliť samostatne vystavenie Wildcard certifikátov. Uvedením 0 issuewild „;“ oznámime, že sa na doméne nemajú vystavovať žiadne Wildcard certifikáty.
Parameter „iodef“ nastavuje e-mailovú adresu alebo adresu webovej služby pre nahlásenie porušenia zásad uvedených v CAA záznamoch certifikačnou autoritou.
Číslo v zázname <flags> (0 – 255) definuje, aký je záznam kritický. 0 = povinný. Odporúčame nastaviť na hodnotu „0“.
Každá certifikačná autorita si podľa vlastnej politiky môže ďalej špecifikovať vlastné parametre v hodnotách, ako napríklad „duveryhodna-ca.com; account=123456“.

Ukážka formátu CAA záznamu v DNS:

  • Doména Typ Hodnota | poznámka
  • sslmentor.sk. IN CAA 0 issue "sectigo.com" | certifikát môže vystaviť CA Sectigo (dříve Comodo)
  • sslmentor.sk. IN CAA 0 issue "letsencrypt.org" | certifikát môže vystaviť CA Let’s Encrypt
  • sslmentor.sk. IN CAA 0 issuewild "sectigo.com" | Wildcard certifikát môže vystaviť LEN CA Sectigo
  • sslmentor.sk. IN CAA 0 iodef "mailto:info@sslmentor.cz" | kontakt pre oznámenie narušenia pravidiel

Generovanie CAA záznamov

Než umiestnime do DNS zóny CAA záznam, je vhodné ho vygenerovať pomocou niektorej z on-line služieb. Jedným z takých je nástroj od SSLMate (CAA Record Helper), ktorý ponúka na výber mnoho certifikačných autorít. Stačí si zvoliť preferovanú autoritu, či je možné vydávať akýkoľvek certifikát alebo aj WildCard a generátor ponúkne záznamy pre vloženie do DNS.

Generovanie CAA záznamov

Vloženie CAA záznamov do DNS

Aby bolo možné vložiť CAA záznam, musí ho poskytovateľ DNS záznamov podporovať. V dnešnej dobe by vkladanie CAA záznamov do DNS mal ponúkať každý hosting alebo registrátor. Na obrázkoch ukazujeme vloženie pri hostingu Wedos a registrátora gransy (subreg.cz). Vždy je nutné po vložení CAA záznamov počkať kým sa rozšíri. Pokiaľ to hosting požaduje, nezabudnite nové DNS záznamy nechať vypublikovať do internetu. Napríklad pri hostingu Wedos potvrdiť "Aplikovať zmeny".

Vloženie CAA záznamov do DNS Vloženie CAA záznamov do DNS

Kontrola CAA záznamov

Akonáhle sa DNS záznamy rozšíria, môžeme niektorým z on-line nástrojov skontrolovať či sa nám podarilo úspešne CAA záznamy vložiť. Napríklad dnsspy.io/labs/caa-validator alebo pomocou vypísania CAA záznamu v DNS nástrojom digwebinterface.com

Späť na Nápovedu
Našli ste chybu alebo niečomu nerozumiete? Napíšte nám!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum