Проверка записей CAA домена в DNS

Перевірка записи CAA є обов'язковою для CA
Створення запису CAA є необов'язковою для власника домену

Авторизація Центру сертифікації або іншими словами Акредитація за вимогами сертифікаційного центру у власника домену, означає що тільки цей Центр по випуску SSL сертифікатів має право випускати SSL сертифікати для даного домена Більш 100+ сертифікаційних центрів (ЦС) мають право видавати сертифікати та відповідати за верифікацію вашої компанії.

Авторизація ЦС - це спосіб мінімізувати ваш ризик від несанкціоновано випуску SSL сертифікату для вашого сайту. Починаючи з 8 вересня 2017 року, згідно з правилами випуску сертифікатів всі органи сертифікації повинні "поважати" вашу політику CAA і зобов'язані перевіряти записи DNS CAA перш ніж випустити ССЛ сертифікат - це міра безпеки, яка дозволяє власникам доменів вказувати в своїй Системі Доменних Імен (DNS) Центри Сертифікації (CA) які мають право видавати сертифікати для цього домену.

Якщо запис DNS CAA відсутня, будь-CA може видати сертифікат для домену. Якщо присутній запис CAA DNS - тільки CA, перераховані в запису, можуть випускати сертифікати для цього домену. Якщо при пошуку записів CAA Центр сертифікації стикається з збоєм, тайм-аутом або відсутністю статусу DNS (незалежно від того, чи є запис CAA) - Сертифікат не буде випущений

• Проверка записи CAA является обязательной для CA
• Создание записи CAA является необязательной для владельца домена

Синтаксис записей CAA описан в rfc6844
проверка: https://toolbox.googleapps.com/apps/dig/#CAA/

Полная запись CAA для DigiCert Group сертификатов
Thawte, GeoTrust

Standard Zone File для BIND ≥9.9.6, PowerDNS ≥4.0.0, NSD ≥4.0.1, Knot DNS ≥2.2.0

yourdomain.com. IN CAA 0 issue "digicert.com"
yourdomain.com. IN CAA 0 issuewild "digicert.com"
yourdomain.com. IN CAA 0 issue "thawte.com"
yourdomain.com. IN CAA 0 issuewild "thawte.com"
yourdomain.com. IN CAA 0 issue "geotrust.com"
yourdomain.com. IN CAA 0 issuewild "geotrust.com"
yourdomain.com. IN CAA 0 issue "rapidssl.com"
yourdomain.com. IN CAA 0 issuewild "rapidssl.com"
yourdomain.com. IN CAA 0 iodef "mailto:admin@yourdomain.com"
yourdomain.com. IN CAA 0 iodef "https://caa.yourdomain.com"

Generic для Google Cloud DNS, Route 53, DNSimple, и других hosted DNS services

yourdomain.com. IN CAA 	0 issue "digicert.com"
			0 issuewild "digicert.com"
			0 issue "thawte.com"
			0 issuewild "thawte.com"
			0 issue "geotrust.com"
			0 issuewild "geotrust.com"
			0 issue "rapidssl.com"
			0 issuewild "rapidssl.com"
			0 iodef "mailto:admin@yourdomain.com"
			0 iodef "https://caa.yourdomain.com"

Legacy Zone File ( RFC 3597 ) For BIND <9.9.6, NSD <4.0.1, Windows Server 2016

yourdomain.com.	IN	TYPE257	\# 19 0005697373756573796D616E7465632E636F6D
yourdomain.com.	IN	TYPE257	\# 23 0009697373756577696C6473796D616E7465632E636F6D

Запрет на выпуск SSL сертификата для всех Центров сертификации

Standard Zone File для BIND ≥9.9.6, PowerDNS ≥4.0.0, NSD ≥4.0.1, Knot DNS ≥2.2.0

yourdomain.com.	IN	CAA	0 issue ";"

Generic для Google Cloud DNS, Route 53, DNSimple, и других hosted DNS services

yourdomain.com.	CAA	0 issue ";"

Legacy Zone File ( RFC 3597 ) For BIND <9.9.6, NSD <4.0.1, Windows Server 2016

yourdomain.com.	IN     TYPE257 	\# 8 000569737375653B

tinydns

:yourdomain.com:257:\000\005\151\163\163\165\145\073

Разрешение на выпуск SSL сертификата для всех Центров сертификации

Отсутствие CAA записи ;)