O que é um registro CAA?
Um registro CAA (certificate Authority Authorization) é um tipo de registro DNS que especifica quais Autoridades Certificadoras (CAs) são autorizadas a emitir certificados SSL/TLS para um domínio. A CAA atua como um controle de segurança, impedindo a emissão de certificados não autorizados, mesmo que um atacante comprometa uma CA.
Por que os registros da CAA importam
Sem registros da CAA, qualquer uma das centenas de CAs confiáveis poderia emitir um certificado para o seu domínio. Isso cria risco:
- Compromisso da AC: Se qualquer CA confiável estiver comprometida, os atacantes poderão obter certificados para o seu domínio
- Emissão de erros: CAs ocasionalmente emitir certificados incorretamente
- Engenharia Social: Os atacantes podem enganar uma CA para emitir certificados não autorizados
Os registros da CAA reduzem a superfície de ataque restringindo quais CAs podem emitir para o seu domínio.
Como funciona o CAA
1. Dono do domínio publica Registros CAA em DNS
2. O solicitante de certificado pede um certificado a uma CA
3. Verificações CA Registros CAA para o domínio
4. Questões de CA somente se autorizado (ou não existem registros de CAA)
5. Se não autorizado, a CA deve recusar o pedido
Verificação obrigatória do CA
A partir de setembro de 2017, todas as CA são obrigadas a verificar os registros CAA antes de emitir certificados. Isso faz parte dos Requisitos de Base do Fórum CA/Browser.
Formato de gravação CAA
example.com. IN CAA 0 issue "letsencrypt.org"Componentes:
- 0: Bandeiras (0 = não crítica, 128 = crítica)
- emissão/emissão selvagem/iodef: Marca de propriedade
- "letsencrypt.org": Valor da propriedade (a CA autorizada)
Etiquetas de propriedade
| Marca | Objecto | Exemplo |
|---|---|---|
| questão | Autorizar o CA para todos os certificados | edição "letsencrypt.org" |
| issuewild | Autorizar o CA para certificados wildcard | númerowild "digicert.com" |
| iodef | Relatar tentativas não autorizadas | iodef "mailto:security@example.com" |
Exemplos de registros CAA
# # # Um CA (vamos criptografar apenas)
example.com. CAA 0 issue "letsencrypt.org"Múltiplos CAs
example.com. CAA 0 issue "letsencrypt.org"
example.com. CAA 0 issue "digicert.com"
example.com. CAA 0 issue "sectigo.com"
Restrição de Wildcard
Permitir Vamos criptografar para certificados regulares, DigiCert para curingas:
example.com. CAA 0 issue "letsencrypt.org"
example.com. CAA 0 issuewild "digicert.com"
# Negar tudo (sem certificados)
Útil para domínios que nunca devem ter certificados:
example.com. CAA 0 issue ";"Com o relatório
example.com. CAA 0 issue "letsencrypt.org"
example.com. CAA 0 iodef "mailto:security@example.com"
Identificadores de CA comuns
| CA | Identificador |
|---|---|
| Vamos criptografar | letsencrypt.org |
| DigiCert | digicert.com |
| Sectigo (Comodo) | sectigo.com |
| GlobalSign | globalsign.com |
| GoDaddy | godaddy.com |
| Amazonas | amazon.com |
| Serviços de confiança do Google | pki.goog |
Verifique a documentação da sua CA para o identificador exato a usar.
Aplicação dos registos CAA
# # Através do provedor DNS
A maioria dos provedores de DNS tem suporte de registro CAA em sua interface.
# Através do Arquivo Zona
; Allow Let's Encrypt and DigiCert
@ IN CAA 0 issue "letsencrypt.org"
@ IN CAA 0 issue "digicert.com"
@ IN CAA 0 iodef "mailto:security@example.com"
Herança da CAA
Os registros da CAA seguem a hierarquia DNS:
- Se example.com tem registros CAA, eles se aplicam aos subdomínios
- Subdomínios podem ter seus próprios registros CAA (sobrescrever pai)
- Nenhum registro CAA = qualquer CA pode emitir
example.com. CAA 0 issue "letsencrypt.org" ; Applies to all
api.example.com. CAA 0 issue "digicert.com" ; Override for api
Verificando registros CAA
Usando escavação:dig example.com CAA
; ANSWER SECTION:
example.com. 300 IN CAA 0 issue "letsencrypt.org"
curl "https://domscan.net/v1/health?domain=example.com"
# Reports hasCAA in security details
Melhores Práticas da CAA
1. Configure sempre CAA: Reduza sua superfície de ataque
2. Inclua todas as AC que você usa: Não se esqueça de CDN / provedor de nuvem CAs
3. Set up iodef: Seja notificado de tentativas não autorizadas
4. Teste antes de executar: Verifique se seus CAs ainda podem emitir
5. Mantenha os registros atualizados: Adicionar novas ACs antes de solicitar certificados
Questões comuns da CAA
Falha na renovação do certificado: CA não nos registros CAA - adicioná-los antes do certificado expirar Os certificados CDN falham: CA do provedor de CDN não autorizado - verifique qual CA seu CDN usa Falta o subdomínio CAA: Filho herda pai CAA —defina registros específicos se necessárioA CAA é um controle de segurança simples, mas poderoso, que todos os domínios devem implementar.