Зарегистрированный владелец домена должен обновить файл зоны DNS CAA, чтобы добавить DigiCert в качестве одобренного ЦС в записи DNS CAA.
Вы можете найти информацию о том, как получить доступ и редактировать файл зоны зоны CAA для домена, связавшись с вашим регистратором домена.
Откройте для редактирования файл CAA DNS зоны
В разделе $ORIGIN mydomain.com добавьте запись: CAA 0 issue “digicert.com” as follows:
$ORIGIN mydomain.com
. CAA 0 issue "digicert.com"
$ORIGIN mydomain.com
. CAA 0 issue "thawte.com"
$ORIGIN mydomain.com
. CAA 0 issue "geotrust.com"
$ORIGIN mydomain.com
. CAA 0 issue "rapidssl.com"
* Запись CAA применится ко всем субдоменам вашего домена
Полная запись CAA для DigiCert Group сертификатов
adgrafics.net. IN CAA 0 issue "digicert.com"
adgrafics.net. IN CAA 0 issuewild "digicert.com"
adgrafics.net. IN CAA 0 issue "thawte.com"
adgrafics.net. IN CAA 0 issuewild "thawte.com"
adgrafics.net. IN CAA 0 issue "geotrust.com"
adgrafics.net. IN CAA 0 issuewild "geotrust.com"
adgrafics.net. IN CAA 0 issue "rapidssl.com"
adgrafics.net. IN CAA 0 issuewild "rapidssl.com"
adgrafics.net. IN CAA 0 iodef "mailto:admin@adgrafics.net"
Что такое запись CAA?
Запись авторизованного центра центра сертификации (CAA) используется для указания, каким полномочным органам сертификации
(ЦС) разрешено выдавать сертификаты для указанного домена.
Цель записи CAA - разрешить владельцам доменов объявлять, какие органы сертификации могут выдавать сертификат для домена.
Они также предоставляют средства для указания правил уведомления в случае, если кто-то запрашивает сертификат у неавторизованного
центра сертификации.
Если нет записи CAA, любой CA может выдавать сертификат для домена.
Если присутствует запись CAA, только CA, перечисленные в записи (-ах), могут выдавать сертификаты для этого имени хоста.
Записи CAA могут устанавливать политику для всего домена или для определенных имен хостов.
Записи CAA также наследуются субдоменами, поэтому запись CAA, установленная на example.com , также применяется к любому субдомену,
например subdomain.example.com (если не переопределено).
Записи CAA могут контролировать выдачу FQDN сертификатов, Wildcard сертификатов или обоих.
Документация по CAA приведена в RFC 6844
Формат записи CAA
Запись CAA представлена следующими элементами:
flag - Целое число без знака от 0 до 255
В настоящее время он используется для представления критического флага, который имеет определенное значение для RFC .
tag - Строка ASCII, которая представляет собой идентификатор свойства, представленного записью.
value - Значение, связанное с тегом.
Запись CAA состоит из байта флагов и пары значений тега-значения, называемой свойством.
Несколько свойств могут быть связаны с одним и тем же доменным именем, публикуя несколько CAA RRsс этим доменным именем.
Каноническое представление: CAA
В настоящее время RFC определяет 3 доступных тега:
issue - разрешает указанному Центру Сертификации выдавать любой сертификат для домена.
issuewild - разрешает указанному Центру Сертификации выпустить только Wildcard сертификат для домена.
iodef - указывает URL-адрес, на который Центр Сертификации может сообщать о нарушении правил.
Использование записи CAA
Как указано в разделе формата, каждая запись CAA содержит только одну пару значений тег - значение.
Тег должен быть одним из трех доступных в настоящее время тегов: issue. issuewild. iodef .
Например, если хотите разрешить выдачу SSL-сертификатов для mydomain.com только для DigiCert
добавте следующую запись CAA: mydomain.com. CAA 0 issue "digicert.com"
Если хотите разрешить выпуск ССЛ сертификатов для двух Центров Сертификации,
добавьте 2 записи CAA, по одному для каждого CA: mydomain.com. CAA 0 issue "digicert.com"
mydomain.com. CAA 0 issue "thawte.com"
Если хотите разрешить Семантику выпуск FQDN сертификатов а Геотрасту выпуск только Wildcard сертификатов - используйте issuewild :
mydomain.com. CAA 0 issue "digicert.com"
mydomain.com. CAA 0 issuewild "geotrust.com"
Обратите внимание, что присутствие issuewild запрещает issue.
Поэтому Центру Сертификации DigiCert не разрешается выпустить Wildcard сертификаты для вашего домена
Чтобы получать уведомления о нарушениях правил, вы можете добавить запись с тегом iodef , содержащую адрес электронной почты для уведомления:
mydomain.com. CAA 0 iodef "mailto:admin@mydomain.com"
Записи наследуются дочерними именами хостов.
mydomain.com. CAA 0 issue "digicert.com"
a.mydomain.com. CAA 0 issue "thawte.com"
b.mydomain.com. CAA 0 issue "geotrust.com"
b.mydomain.com. CAA 0 issue "rapidssl.com"
В приведенном выше примере DigiCert является CA по умолчанию для домена mydomain.com.
Однако только Thawte может выдать сертификат для a.mydomain.com .
GeoTrust и RapidSSL могут выдавать сертификаты для b.mydomain.com .
а для c.mydomain.com разрешено выпускать сертификаты ССЛ только DigiCert
Вопросы-Ответы по записям CAA
DigiCert всегда проверяет существование записей CAA -
Да, система автоматически проверяет все заказы на записи в ДНС
Даже если запись CAA отсутствует, DigiCert может выдавать сертификат ssl?
Да, поскольку использование CAA является добровольным для владельцев домена, и им не нужно указывать
свои предпочтения
Если запись CAA существует и CA DigiCert отмечена как разрешенная - будет ли выдаваться сертификат DigiCert ssl.
Если существует запись для любого из брендов DigiCert сертификат будет выпущен
Если запись CAA существует и CA DigiCert не помечена как разрешенная - будет ли выдаваться сертификат DigiCert ssl
- Нет, в этом случае невозможно будет выдавать сертификат, клиенту необходимо будет обновить записи CAA.
Преимущества. CAA - это простой способ выразить предпочтение ЦС. Поскольку вы владеете своим доменным именем и
контролируете всю информацию DNS для этого домена, вы можете добавить информацию CAA в DNS и изменить ее по своему
желанию. Ни одна другая сторона, включая ЦС, не должна участвовать. Если вы отвечаете за инфраструктуру сертификатов
вашей компании, вы можете воспользоваться CAA. Например, вы можете договориться о скидке на объем с конкретным ЦС и
хотите приобрести все свои сертификаты из этого ЦС, чтобы сэкономить деньги. С помощью CAA вы можете получать
предупреждения, когда сотрудник регистрируется для сертификата из другого ЦС. CAA также включает функцию, которая
позволяет ЦС сообщать о недопустимых запросах сертификатов. Любой совместимый ЦС может уведомить вас по электронной
почте, веб-сервису или обоим, о любом полученном им запросе сертификата, который не соответствует предпочтениям,
установленным в вашей записи CAA. Если вы используете CAA, вы не привязаны к одному ЦС. Можно создать несколько
записей CAA для нескольких центров сертификации, с которыми вы хотите работать. Или вы можете использовать CAA,
чтобы указать, что ни один ЦС не должен выдавать сертификаты в ваш домен.
Использование CAA
Повышает надежность проверки имени домена
Реализация проверки автоматическая с низким уровнем обслуживания
Позволяет идентифицировать высокоценные цели, которые помогут с глобальной проверкой высокоценных доменов
Мощная защита от мошеннических попыток
Также следует учитывать, что если некоторые CA используют CAA, а другие нет, то кто будет целью хакера для мошеннических
сертификатов?
Существует несколько недостатков ВГА, о которых следует знать:
Соблюдение проверки записей является добровольным. Центры сертификации не обязаны проверять запись CAA или
соблюдать ее содержимое, если они это сделают, если иное не указано в их заявлении о практике сертификации (CPS).
Другими словами, CA все равно может игнорировать вашу запись CAA, если она соответствует заявлениям, сделанным в
CPS о соответствии CAA. На момент написания этой статьи ни один ЦА не объявил о поддержке CAA; однако несколько
государственных центров сертификации начинают его тестировать.
В настоящее время CAA представляет собой лишь частичное решение для обеспечения безопасности, поскольку у
злоумышленников есть способы подмены DNS, и хотя расширения безопасности доменных имен (DNSSEC) могут защитить вашу
запись CAA в DNS, DNSSEC в настоящее время широко не используется. CAA также необходимо будет широко внедрять
и наблюдать за центрами сертификации, поэтому использование DNSSEC не является обязательным с помощью CAA,
чтобы избежать ненужной зависимости от полного развертывания DNSSEC.
Возможно, вам будет сложно внести изменения в данные DNS. Возможно, вам придется вовлечь других людей в вашу компанию
или внешнего поставщика, чтобы внести необходимые изменения.
Это может замедлить выпуск сертификата, если соответствующий CA проверяет вашу запись CAA и определяет, что она
не указана в этой записи. CA может потребовать, чтобы вы обновили свою запись CAA до выдачи сертификата или можете
получить отказ от одобрения выдачи сертификата.
CAA - новый, относительно недорогой подход к предотвращению выдачи сертификата, хотя он не является надежным.
Несколько центров сертификации изучают, как внедрить поддержку CAA в своих системах выдачи сертификатов.
Сама по себе CAA не обеспечивает высокий уровень безопасности, но может оказаться уместным в качестве одного из
многих инструментов вашего инструментария для защиты вашего доменного имени, веб-сайта и бренда.