Co je to CAA záznam?

CAA záznam/CAA Record (Certification Authority Authorization) je záznam v DNS zóně domény, který říká jaká certifikační autorita má povoleno vystavit SSL certifikát k doméně. CAA záznamy jsou dalším dílkem k vyšší bezpečnosti na internetu. Účelem záznamu CAA je umožnit vlastníkům domény deklarovat, které certifikační autority mohou vydávat SSL certifikát pro doménu. V záznamech je také možné nastavit oznamování pravidel v případě, že někdo požádá o certifikát od neautorizované certifikační autority.

 

Od 8. září 2017 jsou všechny veřejné certifikační autority povinny před vydáním certifikátu kontrolovat u domén CAA záznamy a žádost o certifikát odmítnout, pokud CAA záznam existuje a certifikační autorita zde není uvedena!

Nemá-li doména nastaven žádný CAA záznam, jakákoliv certifikační autorita může vystavit doméně certifikát. Pokud je u domény záznam nastaven, smí vystavit certifikát pouze CA uvedená v CAA záznamu. Autorita, která se neřídí doporučeními CA/B fóra nemusí záznamy CAA respektovat. Takováto autorita nebude v prohlížečích důvěryhodná.

Jak vypadá CAA záznam

CAA záznam je textová informace, která se přidává do doménové zóny (DNS záznamů) a definuje se v ní, které certifikační autority mohou certifikát vystavit. Dle RFC je formát CAA <flags> <tag> <value>.

Ukázka formátu CAA záznamu v DNS:
  • Doména Typ Hodnota | poznámka
  • sslmentor.cz. IN CAA 0 issue "sectigo.com" | certifikát může vystavit CA Sectigo (dříve Comodo)
  • sslmentor.cz. IN CAA 0 issue "letsencrypt.org" | certifikát může vystavit CA Let’s Encrypt
  • sslmentor.cz. IN CAA 0 issuewild "sectigo.com" | Wildcard certifikát může vystavit POUZE CA Sectigo
  • sslmentor.cz. IN CAA 0 iodef "mailto:info@sslmentor.cz" | kontakt pro oznámení narušení pravidel
Parametry záznamu

Parametr <tag> „issue“ umožňuje vystavení všech druhů certifikátů certifikační autority.
Parametr „issuewild“ umožňuje povolit samostatně vystavení Wildcard certifikátů. Uvedením 0 issuewild „;“ sdělíme, že se na doméně nemají vystavovat žádné Wildcard certifikáty.
Parametr „iodef“ nastavuje e-mailovou adresu nebo adresu webové služby pro nahlášení porušení zásad uvedených v CAA záznamech certifikační autoritou.
Číslo v záznamu <flags> (0 – 255) definuje, jak je záznam kritický. 0 = povinný. Doporučujeme nastavit na hodnotu „0“.
Každá certifikační autorita si dle vlastní politiky může dále specifikovat vlastní parametry v hodnotách, jako například „duveryhodnaca.com; account=123456“.

RFC a CA/B forum

Generování CAA záznamu

Pro generování CAA záznamu je dobré použít některou z on-line služeb jako například nástroj od SSLMate (CAA Record Helper), který nabízí výběr a nastavení většiny používaných certifikačních autorit. Ve formuláři lze zvolit preferovanou autoritu, zda povolit vydávání WildCard SSL certifikátů či vložit kontakt pro reporting. Generátor poté nabídne hotové CAA záznamy pro vložení do DNS nebo i data pro nastavení některých používaných DNS serverů.

Populární certifikační autority

  • CA Digicert + GeoTrust, Thawte, RapidSSL a Symantec
    • issue „digicert.com“
  • CA Sectigo (do roku 2018 pod názvem CA Comodo)
    • issue „sectigo.com“
  • CA Certum
    • issue „certum.pl“
  • Let’s Encrypt
    • issue „letsencrypt.org“

Ukázka CAA záznamu

Jak vypadá konkrétní CAA záznam v DNS se můžete podívat na naší doméně domenaxyz.cz pomocí nástroje digwebinterface.com

Přínos CAA záznamu

Mohlo by se namítat, že CAA záznam nic moc neřeší a že nezabrání bídným CA ve vystavování nepovolených certifikátů. V případě kompromitovaných DNS záznamů také. Avšak CAA záznam v kombinaci s databází Certificate transparency umožní najít chybně vystavený certifikát a pokud by tato situace nastala, certifikační autorita by se mohla stát brzy nedůvěryhodnou, což znamená defakto konec činnosti.
Umístění CAA záznamů do DNS je tedy další z možností jak posílit internetovou bezpečnost a určitě tento způsob doporučujeme, ideálně se zabezpečením DNSSEC v případě, že to Váš poskytovatel DNS serverů nabízí.