Obowiązkowa weryfikacja rekordów CAA
Zgodnie ze zmianami uchwalonymi przez CA/Browser Forum, od 8 września 2017 Urzędy Certyfikacji przed wystawieniem certyfikatu SSL zobowiązane są do weryfikacji zapisów w rekordach DNS CAA dla danej domeny.
Oznacza to, że właściciel domeny ma możliwość jasnego określenia, które Urzędy Certyfikacji uprawnia on do wystawienia certyfikatu SSL na rzecz tej domeny. Dla przykładu, może on w polu CAA podać jedynie: Thawte, DigiCert, GeoTrust i RapidSSL, blokując tym samym możliwość wystawienia certyfikatu przez takich wystawców jak Sectigo (Comodo), Certum i pozostali. Pozostawiając rekord CAA pustym, umożliwiamy wystawienie certyfikatu SSL przez dowolny Urząd Certyfikacji.
Czemu ma służyć weryfikacja rekordów CAA?
Zmiany te mają na celu przede wszystkim zmniejszenie ryzyka wystawienia certyfikatu bez wcześniejszej wiedzy właściciela, a co za tym idzie – ograniczenie nadużyć. Dzięki temu, w przypadku kiedy ktoś postronny chciałby wystawić certyfikat SSL w Urzędzie Certyfikacji, który nie został przez właściciela domeny autoryzowany, operacja ta zwyczajnie nie dojdzie do skutku. Urząd Certyfikacji zablokuje cały proces, ze względu na brak uprawnień do prowadzenia dalszych działań.
Jeżeli, jako właściciel domeny, chcesz być o próbach takich nadużyć informowany, masz oczywiście do tego prawo. Wskazanie adresu e-mail w odpowiednim polu rekordu DNS, zapewni Urzędowi Certyfikacji możliwość wysłania stosownego powiadomienia.
Jest to również rozwiązanie bardzo pomocne w przypadku dużych firm i korporacji, które posiadają wiele biur i oddziałów, przez co ciężko jest dopilnować aby stosowały spójna politykę zakupów certyfikatów SSL dla firmowych domen. Dzięki rekordowi CAA możemy w łatwy sposób ograniczyć listę dostępnych opcji i tym samym wymusić stosowanie certyfikatów SSL jedynie od wybranych wystawców.
Jak sprawdzić zawartość rekordu CAA dla swojej domeny?
Jeżeli nie wiesz, jakie wpisy znajdują się w rekordzie CAA Twojej domeny, możesz to bardzo łatwo sprawdzić przy pomocy poniższych narzędzi:
Po podaniu w wyznaczonym polu odpowiedniej domeny, zobaczysz listę wprowadzonych dla niej w rekordzie CAA wpisów. Poniżej zamieszczamy przykładowy wynik testu domeny ssl24.pl za pomocą narzędzia firmy Google:
Jak skonfigurować wpisy w rekordzie CAA?
W pierwszej kolejności, musisz mieć pewność co do tego, jaka nazwa powinna pojawić się w planowanym wpisie dla wybranego przez Ciebie Urzędu Certyfikacji (np. dla marki Thawte jest to „thawte.com”). Jeżeli tego nie wiesz lub zwyczajnie nie masz pewności, możesz odnaleźć tę informację w Kodeksie Postępowania Certyfikacyjnego (Certification Practice Statement) opublikowanym przez danego wystawcę.
Poniżej znajdziesz przykładowe wpisy domeny ssl24.pl dla następujących przypadków:
- Możliwość wydawania certyfikatów zwykłych i certyfikatów typu wildcard jedynie przez Urząd Certyfikacji Thawte:
ssl24.pl. IN CAA 0 issue "thawte.com"
ssl24.pl. IN CAA 0 issuewild "thawte.com" - Możliwość wydawania certyfikatów zwykłych jedynie przez Urząd Certyfikacji GeoTrust, przy czym żaden Urząd nie będzie mógł wystawić certyfikatu typu wildcard:
ssl24.pl. IN CAA 0 issue "geotrust.com"
ssl24.pl. IN CAA 0 issuewild ";" - Możliwość wydawania certyfikatów zwykłych jedynie przez Urząd Certyfikacji GeoTrust i Thawte, przy jednoczesnej możliwości wydawania certyfikatów typu wildcard jedynie przez Urząd Certyfikacji Thawte:
ssl24.pl. IN CAA 0 issue "geotrust.com"
ssl24.pl. IN CAA 0 issue "thawte.com"
ssl24.pl. IN CAA 0 issuewild "thawte.com" - Brak możliwości wydawania certyfikatów (zarówno zwykłych, jak i typu wildcard) przez jakikolwiek Urząd Certyfikacji:
ssl24.pl. IN CAA 0 issue ";"
- Możliwość wydawania certyfikatów zwykłych i certyfikatów typu wildcard jedynie przez Urząd Certyfikacji Thawte wraz z wysyłką powiadomień o żądaniu wystawienia certyfikatu przez inny Urząd na adres info@ssl24.pl:
ssl24.pl. IN CAA 0 issue "thawte.com"
ssl24.pl. IN CAA 0 issuewild "thawte.com"
ssl24.pl. IN CAA 0 iodef "mailto:info@ssl24.pl" - Możliwość wydania certyfikatu przez dowolny Urząd Certyfikacji.
W tym przypadku nie dodajemy żadnego rekordu CAA w DNS posiadanej domeny.
Jesteś klientem Nazwa.pl?
Jeżeli jesteś klientem Nazwa.pl, zweryfikuj zawartość rekordu CAA dla swojej domeny. Możliwe, że wystawienie certyfikatów SSL marki Thawte, DigiCert, GeoTrust czy RapidSSL nie będzie możliwe, ze względu na znajdujące się w rekordzie CAA wpisy. Więcej informacji na ten temat znajdziesz pod tym adresem.
Potrzebujesz więcej informacji?
Bardziej szczegółowo kwestię wprowadzenia zmian związanych z CAA na oficjalnych stronach opisują poszczególni wystawcy: