Rekord CAA oraz jego wdrożenie w DNS

Certification Authority Authorization (CAA) jest rekordem DNS, który precyzuje jakie Urzędy Certyfikacji (CA) mają prawo wydawać certyfikaty SSL/TLS dla domeny.

Od 8 września 2017, wszystkie publiczne CA są zobowiązane do sprawdzania rekordu CAA przed wydaniem certyfikatu, zgodnie z wymogami CA/Browser Forum. Jeśli rekord CAA istnieje, ale CA nie został wylistowany, żądanie certyfikatu musi zostać odrzucone.

Jeśli domena nie posiada rekordu CAA, każdy publiczny CA może wystawić dla niej certyfikat. Ustawienie rekordu CAA ogranicza wystawianie certyfikatów tylko do wylistowanych CA.

Przykładowy format rekordu CAA:

Nazwa domenyTTLTyp rekorduTagWartośćUwagi
domain.tld.1800IN CAAissue"actalis.it"Certyfikat może zostać wystawiony przez Actalis CA
domain.tld.1800IN CAAissue"digicert.com"Certyfikat może zostać wystawiony przez DigiCert CA (również pokrywa RapidSSL oraz GeoTrust)
domain.tld.1800IN CAAissue"letsencrypt.org"Certyfikat może zostać wystawiony przez Let's Encrypt

Wartości tagów:

  • issue: Zezwala CA na wystawianie certyfikatów dla domeny.
  • issuewild: Zezwala na wystawianie certyfikatów wildcard. Możesz również zabronić wystawiania certyfikatów wildcard poprzez ustawienie 0 issuewild ";".

Generowanie rekordu CAA:

Możesz w prosty sposób wygenerować rekordy CAA za pomocą narzędzi online, takich jak SSLMate's CAA Record Helper. Pozwala ono na wybranie preferowanych CA, zadecydowanie o wystawianiu certyfikatów wildcard oraz wygenerowanie prawidłowych rekordów DNS dla Twojej domeny.

Popularne Urzędy Certyfikacji:

DigiCert (włącznie z GeoTrust oraz RapidSSL)
       issue "digicert.com"

Let's Encrypt
       issue "letsencrypt.org"