Как настроить запись CAA

CAA (Certification Authority Authorization) - это новый тип записи DNS, предназначенный для идентификации центров сертификации, которым разрешено выпускать сертификаты SSL / TLS для определенного доменного имени или поддомена. Крупнейшие и наиболее популярные центры сертификации договорились, что начиная с 8 сентября 2017 года необходимо строго следовать инструкциям, указанным в записях CAA доменного имени или поддомена, для которого запрашивается выпуск сертификата. Использование записи CAA повышает уровень безопасности в Интернете и снижает вероятность несанкционированного получения сертификатов для сторонних доменных имен. Здесь представлена подробная инструкция, объясняющая возможности записи CAA и формат ее использования.

• *

  Формат записи

  Значение записи CAA состоит из трех частей, разделенных пробелом:

  
• f

  <flag>

  Значение флага представляет собой 8-битное число, старший бит которого указывает на критичность записи для центра сертификации. В настоящее время действительны следующие значения:

  0 - Если значение тега не поддерживается или не распознается центром сертификации, то центру сертификации разрешается выпустить сертификат для данного доменного имени или поддомена по своему усмотрению.

  128 - Если значение тега не поддерживается или не распознается центром сертификации, то центр сертификации не должен выдавать сертификат для доменного имени или поддомена.

• t

  <tag>

  Значение тега может принимать одно из следующих значений:

  issue - Определяет центр сертификации, которому разрешено выпустить сертификат для доменного имени или поддомена, используемого в имени записи.

  issuewild - Определяет центр сертификации, которому разрешено выпускать сертификат wildcard для доменного имени или записи поддомена, используемой в имени. Сертификат применяется непосредственно к доменному имени или поддомену и ко всем его поддоменам.

  iodef - Определяет адрес электронной почты или URL (в соответствии с RFC 5070), который центр сертификации должен использовать для уведомлений, если он получает запрос на сертификат с нарушением правил для доменного имени, определенного записью CAA.

• v

  <value>

  Значение зависит от значения тега и должно быть заключено в двойные кавычки (""). Некоторые центры сертификации позволяют использовать дополнительные параметры для значения. В этом случае параметры должны быть разделены точкой с запятой (;).

  

  В случае tag = issue - Доменное имя центра сертификации, которому разрешено выпускать сертификат для доменного имени или поддомена, указанного в названии. Чтобы запретить выпуск сертификата для всех центров сертификации для доменного имени или поддомена, указанного в названии записи, необходимо использовать точку с запятой (;) вместо доменного имени центра сертификации.

  

  В случае, когда tag = issuewild - аналогично случаю, когда tag = issue, за исключением того, что правило применяется к сертификатам с подстановочным знаком.

  

  В случае, если tag = iodef - Адрес электронной почты ("mailto: abuse@example.com") или URL ("http (s): // URL"), который центр сертификации должен использовать в случае получения несанкционированного запроса на выпуск сертификата для доменного имени или субдомена, используемого в названии записи.

  
• *

  Особенности:

  Значение записи для доменного имени или поддомена наследуется всеми его поддоменами, если явно не указано иное.

  Чтобы определить два или более центра сертификации для одного доменного имени или поддомена, необходимо использовать несколько записей CAA.

  Отсутствие записи CAA будет истолковано любым центром сертификации как разрешение на выдачу сертификата.

  Полная спецификация записи CAA доступна в RFC 6844.

• *

  Как проверить?

  Вот наиболее распространенные способы проверки записей CAA:

  

  CAA TEST

  Google Suite CAA Checker