Co je to CAA záznam?

Co je to CAA záznam?

CAA záznam (Certification Authority Authorization) je záznam v DNS zóně domény, který říká jaká certifikační autorita má povoleno vystavit SSL certifikát k doméně. CAA záznamy jsou dalším dílkem k vyšší bezpečnosti na internetu.

 

Od 8. září 2017 jsou povinny všechny veřejné certifikační autority před vydáním certifikátu kontrolovat u domén CAA záznamy a žádost o certifikát odmítnout, pokud CAA záznam existuje a certifikační autorita zde není uvedena.

Nemá-li doména nastaven žádný CAA záznam, jakákoliv certifikační autorita může vystavit doméně certifikát. Pokud je u domény záznam nastaven, smí vystavit certifikát pouze CA uvedená v CAA záznamu. Autorita, která se neřídí doporučeními CA/B fóra nemusí záznamy CAA respektovat.

Jak vypadá CAA záznam

CAA záznam je textová informace, která se přidává do doménové zóny a definuje se v ní, které certifikační autority mohou certifikát vystavit. Dle RFC je formát CAA <flags> <tag> <value>.

Ukázka formátu CAA záznamu v DNS:
  • Doména Typ Hodnota | poznámka
  • sslmentor.cz. IN CAA 0 issue "comodo.com" | certifikát může vystavit CA Comodo
  • sslmentor.cz. IN CAA 0 issue "letsencrypt.org" | certifikát může vystavit CA Let’s Encrypt
  • sslmentor.cz. IN CAA 0 issuewild "comodo.com" | Wildcard certifikát může vystavit POUZE CA Comodo
  • sslmentor.cz. IN CAA 0 iodef "mailto:info@sslmentor.cz" | kontakt pro oznámení narušení pravidel
Parametry záznamu

Parametr <tag> „issue“ umožňuje vystavení všech druhů certifikátů certifikační autority.
Parametr „issuewild“ umožňuje povolit samostatně vystavení Wildcard certifikátů. Uvedením 0 issuewild „;“ sdělíme, že se na doméně nemají vystavovat žádné Wildcard certifikáty.
Parametr „iodef“ nastavuje e-mailovou adresu nebo adresu webové služby pro nahlášení porušení zásad uvedených v CAA záznamech certifikační autoritou.
Číslo v záznamu <flags> (0 – 255) definuje, jak je záznam kritický. 0 = povinný. Doporučujeme nastavit na hodnotu „0“.
Každá certifikační autorita si dle vlastní politiky může dále specifikovat vlastní parametry v hodnotách, jako například „duveryhodnaca.com; account=123456“.

RFC a CA/B forum

Přínos CAA záznamu

Mohlo by se namítat, že CAA záznam nic moc neřeší a že nezabrání bídným CA ve vystavování nepovolených certifikátů. V případě kompromitovaných DNS záznamů také. Avšak CAA záznam v kombinaci s databází Certificate transparency umožní najít chybně vystavený certifikát a pokud by tato situace nastala, certifikační autorita by se mohla stát brzy nedůvěryhodnou, což znamená defakto konec činnosti.
Umístění CAA záznamů do DNS je tedy další z možností jak posílit internetovou bezpečnost a určitě tento způsob doporučujeme, ideálně se zabezpečením DNSSEC.