CAA zapis
Zapis za Autorizaciju Sertifikacionih Autoriteta (CAA) u DNS resursnom zapisu omogućava vlasniku DNS domena da odredi koje Sertifikacione Autoritete (CA) su ovlašćene da izdaju sertifikate za taj domen. Objavljivanje CAA resursnih zapisa omogućava javnom Sertifikacionom Autoritetu da implementira dodatne kontrole kako bi smanjio rizik od neželjenog izdavanja sertifikata.
Zapis takođe omogućava postavljanje pravila obaveštenja kada neko zatraži sertifikat od neovlašćenog CA. Postavljanje CAA zapisa u DNS domen je još jedan način za poboljšanje sigurnosti na Internetu.
Šta je CAA zapis
CAA (Certifikaciona Autorizacija) zapis je zapis u DNS zoni domena koji govori koji sertifikacioni autoritet može izdati SSL sertifikate za taj domen. Ako u DNS-u nije naveden CAA zapis, svaki CA može izdati sertifikat za taj domen. Ako postoji CAA zapis, samo CA koji su navedeni u zapisima mogu izdati sertifikate za taj domen. CAA zapisi mogu postaviti politike na nivou domena ili specifičnih imena. CAA zapisi se takođe nasleđuju od poddomena, tako da će CAA zapis koji se ubaci u primer.net biti važeći i na bilo kom poddomenu, kao što je poddomeni.primer.net.
- CAA zapisi su specificirani u RFC 6844.
- U martu 2017. godine, obaveza provere CAA domenskih zapisa glasana je na CAB forumu, i od 8. septembra 2017. godine, svi javni CA-ovi su obavezni da provere CAA domenske zapise pre izdavanja sertifikata i odbiju zahtev za sertifikat ako CAA zapis postoji i CA nije naveden tamo.
Vrednosti CAA zapisa
Kanonski prezentacioni format CAA zapisa je: CAA <flags> <tag> <value>
- <flags> (0 – 255) Podrazumevana vrednost je 0 (obavezna). Ako postavite 1, to blokira validaciju ako tag nije poznat CA-u. Preporučujemo postavljanje na "0".
Svaki CA može dodatno specificirati svoje parametre u smislu vrednosti. - Parametri <tag>
- issue omogućava izdavanje svih tipova sertifikata od navedenog CA-a
- issuewild omogućava da odvojeno omogućite izdavanje WildCard sertifikata
Specifikacijom 0 issuewild ";" ukazujemo da ne treba izdavati WildCard sertifikate na domenu
Svojstvo issuewild ima istu sintaksu i semantiku kao svojstvo issue osim što svojstva issuewild samo daju ovlašćenje za izdavanje sertifikata koji specificiraju wildcard domen i svojstva issuewild imaju prednost u odnosu na svojstva issue kada su specificirana. - iodef postavlja e-adresu ili Web adresu za prijavljivanje povreda politike navedenih u CAA zapisima od strane sertifikacionog autoriteta
- <value>
Primer formata CAA zapisa u DNS:
- Domen Tip Vrednost | napomena
- sslmentor.com. IN CAA 0 issue "sectigo.com" | sertifikat može izdati CA Sectigo
- sslmentor.com. IN CAA 0 issue "letsencrypt.org" | sertifikat može izdati Let’s Encrypt
- sslmentor.com. IN CAA 0 issuewild "sectigo.com" | SAMO CA Sectigo može izdati Wildcard sertifikat
- sslmentor.com. IN CAA 0 iodef "mailto:info@sslmentor.cz" | kontakt za obaveštenje o povredama
Kako postaviti CAA zapis
Pre nego što postavimo CAA zapis u DNS zonu, preporučljivo je generisati ga koristeći neki od online servisa. Jedan takav alat je SSLMate (CAA Record Helper), koji nudi izbor mnogih sertifikacionih autoriteta. Sve što treba da uradite je da izaberete željeni autoritet, da li možete izdati bilo koji sertifikat ili čak WildCard, i generator će vam ponuditi zapise za ubacivanje u DNS.
Ubacivanje CAA zapisa u DNS
Dа bi se ubacio CAA zapis, pružalac DNS zapisa mora podržavati tu funkciju. Danas bi svaki hosting ili registrar trebalo da nudi mogućnost ubacivanja CAA zapisa u DNS. Slike prikazuju ubacivanje u neke hosting usluge. Uvek je potrebno sačekati da se proširi nakon ubacivanja CAA zapisa. Ako hosting zahteva, ne zaboravite da objavite nove DNS zapise na Internetu. Na primer, morate potvrditi "Primeni promene".
Provera CAA zapisa
Kako se DNS zapisi proširuju, možemo koristiti neke od online alata da proverimo da li smo uspešno postavili CAA zapise. Na primer, dnsspy.io/labs/caa-validator ili listanje CAA zapisa u DNS sa digwebinterface.com
Gde dalje?
Nazad na Pomoć
Pronašli ste grešku ili vam nešto nije jasno? Pišite nam!