Pull to refresh

DNS-запись CAA. Зачем нужна и как использовать?

Reading time 3 min
Views 45K
CAA (Certification Authority Authorization) — это новый тип DNS-записи, предназначенный для определения центров сертификации, которым разрешен выпуск SSL/TLS-сертификатов для определенного доменного имени или субдомена.

Крупнейшие и наиболее популярные центры сертификации договорились, что начиная с 8 сентября 2017 года в обязательном порядке строго следовать инструкциям, указанным в CAA-записях доменного имени или субдомена для которого запрашивается выпуск сертификата.

Использование CAA-записи позволит повысить уровень безопасности в сети Интернет и сократить случаи неавторизованного получения сертификатов для сторонних доменных имен.

Я подготовил подробную инструкцию, которая разъясняет возможности CAA-записи и формат ее использования.

Формат записи:

CAA <flags> <tag> <value>

Значение CAA-записи состоит из трех частей, разделенных пробелом:

flag

Значение flag представляет собой 8-битное число, старший бит которого обозначает критичность понимания записи центром сертификации. В данный момент допустимы следующие значения:

  • 0 — Если значение tag не поддерживается или не распознается центром сертификации, то центру сертификации разрешено по своему усмотрению выпустить сертификат для доменного имени или субдомена.
  • 128 — Если значение tag не поддерживается или не распознается центром сертификации, то центр сертификации не должен выпускать сертификат для доменного имени или субдомена.

tag

Значение tag может принимать одно из следующих значений:

  • issue — Определяет центр сертификации, которому разрешена выдача сертификата, для используемого в названии записи доменного имени или субдомена.
  • issuewild — Определяет центр сертификации, которому разрешена выдача wildcard-сертификата, для используемого в названии записи доменного имени или субдомена. Сертификат распространяется на доменное имя или субдомен непосредственно и на все его субдомены.
  • iodef — Определяет адрес электронной почты или URL (соответствующий стандарту RFC 5070), который центр сертификации должен использовать для уведомлений, в случае получения запроса на выпуск сертификата в нарушении определенных CAA-записью правил для доменного имени.

value

Значение value зависит от значения tag и должно быть заключено в двойные кавычки ("").

Некоторые центры сертификации позволяют использовать дополнительные параметры для значения value. В этом случае, параметры должны быть разделены точкой с запятой (;).

Пример: 0 issue "comodoca.com; account=12345"

  • В случае, если tag = issue — Доменное имя центра сертификации, которому разрешен выпуск сертификата для указанного в названии записи доменного имени или субдомена. Для запрета выпуска сертификата для всех центров сертификации для указанного в названии записи доменного имени или субдомена необходимо использовать точку с запятой (;) вместо доменного имени центра сертификации.
    Пример: example.com. CAA 0 issue "comodoca.com"
    Пример: example.com. CAA 0 issue ";"
  • В случае, если tag = issuewild — Аналогично случаю, когда tag = issue, за исключением, что правило применяется для wildcard-сертификатов.
    Пример: example.com. CAA 0 issuewild "comodoca.com"
    Пример: example.com. CAA 0 issuewild ";"
  • В случае, если tag = iodef — Адрес электронной почты ("mailto:abuse@example.com") или URL ("http(s)://URL"), который центр сертификации должен использовать в случае получения неавторизованного запроса для выдачи сертификата для используемого в названии записи доменного имени или субдомена.
    Пример: example.com. CAA 0 iodef "mailto:abuse@example.com"

Особенности:

  • Значение записи для доменного имени или субдомена наследуется на все его субдомены, если явно не задано другое.
  • Для определения двух и более центров сертификации для одного доменного имени или субдомена нужно использовать несколько CAA-записей.
  • Отсутствие CAA-записи будет интерпретироваться любым центром сертификации как разрешение на выпуск сертификата.
  • Полная спецификация CAA-записи доступна в документе RFC 6844.

Как проверить?
dig example.com caa

Кто поддерживает?

CAA-запись поддерживают не все DNS-провайдеры. Актуальный список по состоянию на 30 августа 2017 года в алфавитном порядке:

Afraid.org Free DNS
Amazon Route 53
BuddyNS
Cloudflare
ClouDNS
Constellix DNS
DNSimple
DNS Made Easy
Dyn Managed DNS
Domeneshop
Google Cloud DNS
Gandi
Hurricane Electric Free DNS
Neustar UltraDNS
NS1
Zilore

Онлайн генераторы?

Вы можете воспользоваться этим или этим онлайн-генератором для правильного и быстрого создания необходимых CAA-записей.
Tags:
Hubs:
+18
Comments 27
Comments Comments 27

Articles