SSLmentor

SSL certifikáty pro zabezpečení www stránek! 6 certifikačních autorit, přes 50 druhů SSL certifikátů v nabídce.

Jak nastavit CAA záznamy

Záznam CAA umožňuje majitelům/správcům domény deklarovat, které certifikační autority mohou pro doménu vydat certifikát. Záznamy umožňují také nastavit pravidla oznámení v případě, že někdo požádá o certifikát od neautorizované certifikační autority. Umístění CAA záznamů do DNS domény je další z možností jak posílit bezpečnost na internetu.

Co je to CAA záznam

CAA záznam (Certification Authority Authorization) je záznam v DNS zóně u domény, který říká jaká certifikační autorita má povoleno vystavovat SSL certifikáty k doméně. Není-li v DNS uveden žádný záznam CAA, může každá certifikační autorita pro danou doménu vydat certifikát. Je-li přítomen záznam CAA, smí vydat certifikáty pro doménu pouze certifikační autority uvedené v záznamech. Záznamy CAA mohou nastavit zásady pro celou doménu nebo pro určité názvy. Záznamy CAA jsou také děděny subdoménami, proto záznam CAA vložený do domenyxyz.cz bude platný také na jakoukoli subdoménu, například na subdomeny.domenaxyz.cz.

CAA záznamy jsou specifikovány v RFC 6844.
V březnu 2017 byla povinnost kontrolovat CAA záznamy u domény odhlasována ve sdružení CAB fórum a od 8. září 2017 jsou povinny všechny veřejné certifikační autority před vydáním certifikátu kontrolovat u domén CAA záznamy a žádost o certifikát odmítnout, pokud CAA záznam existuje a certifikační autorita zde není uvedena.

Parametry záznamu

Parametr <tag> „issue“ umožňuje vystavení všech druhů certifikátů certifikační autority.
Parametr „issuewild“ umožňuje povolit samostatně vystavení Wildcard certifikátů. Uvedením 0 issuewild „;“ sdělíme, že se na doméně nemají vystavovat žádné Wildcard certifikáty.
Parametr „iodef“ nastavuje e-mailovou adresu nebo adresu webové služby pro nahlášení porušení zásad uvedených v CAA záznamech certifikační autoritou.
Číslo v záznamu <flags> (0 – 255) definuje, jak je záznam kritický. 0 = povinný. Doporučujeme nastavit na hodnotu „0“.
Každá certifikační autorita si dle vlastní politiky může dále specifikovat vlastní parametry v hodnotách, jako například „duveryhodnaca.com; account=123456“.

Ukázka formátu CAA záznamu v DNS:

  • Doména Typ Hodnota | poznámka
  • sslmentor.cz. IN CAA 0 issue "comodoca.com" | certifikát může vystavit CA Comodo
  • sslmentor.cz. IN CAA 0 issue "letsencrypt.org" | certifikát může vystavit CA Let’s Encrypt
  • sslmentor.cz. IN CAA 0 issuewild "comodoca.com" | Wildcard certifikát může vystavit POUZE CA Comodo
  • sslmentor.cz. IN CAA 0 iodef "mailto:info@sslmentor.cz" | kontakt pro oznámení narušení pravidel

Generování CAA záznamů

Než umístíme do DNS zóny CAA záznam, je vhodné jej vygenerovat pomocí některé z on-line služeb. Jedním z takových je nástroj od SSLMate, který nabízí na výběr mnoho certifikačních autorit. Stačí si zvolit preferovanou autoritu, zda lze vydávat jakýkoliv certifikát nebo i WildCard a generátor nabídne záznamy pro vložení do DNS.

Generování CAA záznamů

Vložení CAA záznamů do DNS

Aby bylo možné vložit CAA záznam, musí jej poskytovatel DNS záznamů podporovat. V dnešní době by vkládání CAA záznamů do DNS měl nabízet každý hosting nebo registrátor. Na obrázcích ukazujeme vložení u hostingu Wedos a registrátora gransy (subreg.cz). Vždy je nutné po vložení CAA záznamů počkat než se rozšíří. Pokud to hosting požaduje, nezapomeňte nové DNS záznamy nechat vypublikovat do internetu. Například u hostingu Wedos potvrdit "Aplikovat změny".

Vložení CAA záznamů do DNS Vložení CAA záznamů do DNS

Kontrola CAA záznamů

Jakmile se DNS záznamy rozšíří, můžeme některým z on-line nástrojů zkontrolovat zda se nám podařilo úspěšně CAA záznamy vložit. Například dnsspy.io/labs/caa-validator.

SSLmentor doporučuje

Nastavovat na doméně CAA záznam?

Umístění CAA záznamů do DNS je další z možností jak posílit internetovou bezpečnost a určitě tento způsob doporučujeme, ideálně se zabezpečením DNSSEC.