Cos'è un record CAA?
Un registro CAA (Certificate Authority Authorization) è un tipo di record DNS che specifica quali Autorità di certificazione (CA) sono autorizzate a rilasciare certificati SSL/TLS per un dominio. CAA agisce come un controllo di sicurezza, impedendo l'emissione di certificati non autorizzati anche se un aggressore compromette una CA.
Perché CAA Records Matter
Senza i record CAA, qualsiasi delle centinaia di CA attendibili potrebbe rilasciare un certificato per il tuo dominio. Questo crea il rischio:
- # CA Compromise # Se una CA affidabile è compromessa, gli aggressori potrebbero ottenere certificati per il tuo dominio
- # Mis-issuance # Le CA rilasciano occasionalmente certificati in modo errato
- Ingegneria sociale Gli aggressori potrebbero ingannare una CA per emettere certificati non autorizzati
I record di CAA riducono la superficie d'attacco limitando quali CA possono emettere per il tuo dominio.
Come funziona CAA
1. Il proprietario del dominio pubblica i record CAA in DNS
2. Richiedente certificato chiede una CA per un certificato
3. CA check CAA record per il dominio
4. Problemi di CA solo se autorizzati (o non esistono record di CAA)
5. Se non autorizzato, CA deve rifiutare la richiesta
Controllo obbligatorio CA
A partire da settembre 2017, tutte le CA sono tenute a controllare i record CAA prima di rilasciare i certificati. Questo fa parte del CA/Browser Forum Requisiti di base.
Formato record CAA
example.com. IN CAA 0 issue "letsencrypt.org"Componenti:
- 0: Bandiere (0 = non critico, 128 = critico)
- problema/problemwild/iodef: Etichetta di proprietà
- "letsencrypt.org": Valore di proprietà (CA autorizzata)
Proprietà Tags
| Tag: | Oggetto | Esempio |
|---|---|---|
| Numero | Autorizzare CA per tutti i certificati | numero "letsencrypt.org" |
| emissionewild | Autorizzare CA per i certificati wildcard | emissionewild "digicert.com" |
| ii) | Segnala tentativi non autorizzati | iodef "mailto:security@example.com" |
Esempi di record CAA
Singola CA (solo Let's Encrypt)
example.com. CAA 0 issue "letsencrypt.org"CA multiple
example.com. CAA 0 issue "letsencrypt.org"
example.com. CAA 0 issue "digicert.com"
example.com. CAA 0 issue "sectigo.com"
Wildcard Restriction #
Let's Crittografia per cert regolari, DigiCert per wildcards:
example.com. CAA 0 issue "letsencrypt.org"
example.com. CAA 0 issuewild "digicert.com"
Deny All (No Certificati)
Utile per domini che non dovrebbero mai avere certificati:
example.com. CAA 0 issue ";"Con Reporting
example.com. CAA 0 issue "letsencrypt.org"
example.com. CAA 0 iodef "mailto:security@example.com"
Identificazione CA comune
| CA | Identificazione |
|---|---|
| Crittografia | letsencrypt.org |
| DigiCert | digicert.com |
| Sectigo (Comodo) | sectigo.com |
| GlobalSign | globalsign.com |
| GoDaddy. | godaddy.com |
| Amazzonia | amazon.com |
| Servizi Google Trust | pki.goog |
Controlla la documentazione della tua CA per l'identificatore esatto da usare.
Attuazione della CAA Records
Via DNS Provider
La maggior parte dei provider DNS ha il supporto record CAA nella loro interfaccia.
Via Zone File
; Allow Let's Encrypt and DigiCert
@ IN CAA 0 issue "letsencrypt.org"
@ IN CAA 0 issue "digicert.com"
@ IN CAA 0 iodef "mailto:security@example.com"
CAA Inheritance
I record CAA seguono la gerarchia DNS:
- Se example.com ha i record CAA, si applicano ai sottodomini
- I subdomini possono avere i propri record CAA (genitore override)
- Nessun record CAA = qualsiasi CA può emettere
example.com. CAA 0 issue "letsencrypt.org" ; Applies to all
api.example.com. CAA 0 issue "digicert.com" ; Override for api
Controllare CAA Records
# Usi scavare #
dig example.com CAA
; ANSWER SECTION:
example.com. 300 IN CAA 0 issue "letsencrypt.org"
# Usando DomScan #
curl "https://domscan.net/v1/health?domain=example.com"
# Reports hasCAA in security details
Migliori pratiche CAA
1. Configura sempre CAA: Ridurre la superficie di attacco
2. Includi tutte le CA che usi: Non dimenticare CDN/cloud provider CAs
3. - Si'. Ricevi notifica di tentativi non autorizzati
4. Prima di forzare... Verificare che le CA possano ancora emettere
5. **Aggiornamento record * Aggiungere nuove CA prima di richiedere certificati
Questioni di CAA comuni
Il rinnovo del certificato non è valido : CA non nei registri di CAA - li ha aggiunti prima della scadenza del certificato I certificati CDN falliscono: CA del fornitore di CDN non autorizzato, controlla quale CA utilizza il tuo CDN# Missing subdomain CAA # Il bambino eredita il genitore CAA—imposta i record specifici se necessario
CAA è un semplice ma potente controllo di sicurezza che ogni dominio dovrebbe implementare.