Przejdź do głównej treści
Certyfikaty SSL klasy Premium
od Platinum Partnera DigiCert
68 457 00 00
Bezpieczeństwo bez kompromisów
Produkty wg wystawcy
Produkty wg typu
Produkty wg technologii
Produkty wg weryfikacji

Obowiązkowa weryfikacja rekordów CAA

     
Ocena: 4,58/5,00
Dodaj ocenę
Obowiązkowa weryfikacja rekordów CAA

Zgodnie ze zmianami uchwalonymi przez CA/Browser Forum, od 8 września 2017 Urzędy Certyfikacji przed wystawieniem certyfikatu SSL zobowiązane są do weryfikacji zapisów w rekordach DNS CAA dla danej domeny.

Oznacza to, że właściciel domeny ma możliwość jasnego określenia, które Urzędy Certyfikacji uprawnia on do wystawienia certyfikatu SSL na rzecz tej domeny. Dla przykładu, może on wskazać w polu CAA jedynie DigiCert, blokując tym samym możliwość wystawienia certyfikatu przez takich wystawców jak Sectigo (Comodo), Certum i pozostali. Pozostawiając rekord CAA pustym, umożliwiamy wystawienie certyfikatu SSL przez dowolny Urząd Certyfikacji.

Czemu ma służyć weryfikacja rekordów CAA?

Zmiany te mają na celu przede wszystkim zmniejszenie ryzyka wystawienia certyfikatu bez wcześniejszej wiedzy właściciela, a co za tym idzie – ograniczenie nadużyć. Dzięki temu, w przypadku kiedy ktoś postronny chciałby wystawić certyfikat SSL w Urzędzie Certyfikacji, który nie został przez właściciela domeny autoryzowany, operacja ta zwyczajnie nie dojdzie do skutku. Urząd Certyfikacji zablokuje cały proces, ze względu na brak uprawnień do prowadzenia dalszych działań.

Jeżeli, jako właściciel domeny, chcesz być o próbach takich nadużyć informowany, masz oczywiście do tego prawo. Wskazanie adresu e-mail w odpowiednim polu rekordu DNS, zapewni Urzędowi Certyfikacji możliwość wysłania stosownego powiadomienia.

Jest to również rozwiązanie bardzo pomocne w przypadku dużych firm i korporacji, które posiadają wiele biur i oddziałów, przez co ciężko jest dopilnować aby stosowały spójna politykę zakupów certyfikatów SSL dla firmowych domen. Dzięki rekordowi CAA możemy w łatwy sposób ograniczyć listę dostępnych opcji i tym samym wymusić stosowanie certyfikatów SSL jedynie od wybranych wystawców.

Schemat funkcjonowania CAA - SSL24

Jak sprawdzić zawartość rekordu CAA dla swojej domeny?

Jeżeli nie wiesz, jakie wpisy znajdują się w rekordzie CAA Twojej domeny, możesz to bardzo łatwo sprawdzić przy pomocy poniższych narzędzi:

Po podaniu w wyznaczonym polu odpowiedniej domeny, zobaczysz listę wprowadzonych dla niej w rekordzie CAA wpisów. Poniżej zamieszczamy przykładowy wynik testu domeny ssl24.pl za pomocą narzędzia firmy Google:

Zawartość rekordu CAA domeny - SSL24

Jak skonfigurować wpisy w rekordzie CAA?

W pierwszej kolejności, musisz mieć pewność co do tego, jaka nazwa powinna pojawić się w planowanym wpisie dla wybranego przez Ciebie Urzędu Certyfikacji (np. kiedy wystawcą certyfikatów DigiCert, Thawte, GeoTrust i RapidSSL prawidłowy wpis to „digicert.com”).

Poniżej znajdziesz przykładowe wpisy domeny ssl24.pl dla następujących przypadków:

  1. Możliwość wydawania certyfikatów typu single domain, multi domain oraz wildcard jedynie przez Urząd Certyfikacji DigiCert:
    ssl24.pl. IN CAA 0 issue "digicert.com"
    ssl24.pl. IN CAA 0 issuewild "digicert.com"
  2. Możliwość wydawania certyfikatów typu single domain i multi domain jedynie przez Urząd Certyfikacji DigiCert, przy czym żaden Urząd nie będzie mógł wystawić certyfikatu typu wildcard:
    ssl24.pl. IN CAA 0 issue "digicert.com"
    ssl24.pl. IN CAA 0 issuewild ";"
  3. Brak możliwości wydawania certyfikatów (zarówno typu single domain, multi domain, jak i wildcard) przez jakikolwiek Urząd Certyfikacji:
    ssl24.pl. IN CAA 0 issue ";"
  4. Możliwość wydawania certyfikatów typu single domain, multi domain oraz wildcard jedynie przez Urząd Certyfikacji DigiCert wraz z wysyłką powiadomień o żądaniu wystawienia certyfikatu przez inny Urząd na adres info@ssl24.pl:
    ssl24.pl. IN CAA 0 issue "digicert.com"
    ssl24.pl. IN CAA 0 issuewild "digicert.com"
    ssl24.pl. IN CAA 0 iodef "mailto:info@ssl24.pl"
  5. Możliwość wydania certyfikatu przez dowolny Urząd Certyfikacji:
    W tym przypadku nie dodajemy żadnego rekordu CAA w DNS posiadanej domeny.

Jesteś klientem Nazwa.pl?

Jeżeli jesteś klientem Nazwa.pl, zweryfikuj zawartość rekordu CAA dla swojej domeny. Możliwe, że wystawienie certyfikatów SSL marki Thawte, DigiCert, GeoTrust czy RapidSSL nie będzie możliwe, ze względu na znajdujące się w rekordzie CAA wpisy. Więcej informacji na ten temat znajdziesz pod tym adresem.

Co z certyfikatami dla poczty elektronicznej?

Od 13 marca 2025 r. rekord DNS CAA sprawdzany jest także przed wydaniem certyfikatu typu S-MIME. Przykładowy wpis umożliwiający wydanie tego typu certyfikatu zarówno przez DigiCert jak i GlobalSign wygląda następująco:

ssl24.pl. IN CAA 0 issuemail "digicert.com"
ssl24.pl. IN CAA 0 issuemail "globalsign.com"
Oceń ten artykuł
Średnia ocena czytelników 4,58/5,00 na podstawie 55 głosów
Zaufali nam:
DigiCert
Porównaj certyfikaty DigiCert
Thawte
Porównaj certyfikaty Thawte
GeoTrust
Porównaj certyfikaty GeoTrust
RapidSSL
Porównaj certyfikaty RapidSSL
Informacja o plikach cookies

Ta strona wykorzystuje technologię plików cookies. Korzystając z naszego serwisu bez zmiany ustawień dotyczących cookies wyrażasz zgodę na ich używanie, zgodnie z aktualnymi ustawieniami przeglądarki. Pozwalają nam one m.in. rozpoznawać użytkowników i ich preferencje, jak również dostarczają informacji, które elementy naszej strony są najpopularniejsze i najbardziej użyteczne dla osób odwiedzających nasz serwis.

Rozumiem
SSL24 na Facebooku