Запись CAA DNS что это такое?

Раздел: Интернет
Написано: 20.09.2017
Автор: Antonio

В начале года я писал о новостях в мире HTTPS и SSL. И уже тогда мне хотелось использовать возможности записи типа CAA у своего DNS хостера, однако тогда такой возможности не было.

И вот не так давно такая возможность у ClouDNS появилась.

DNS CAA SSL


Что такое CAA в DNS?

CAA (Certification Authority Authorization) – это специальная DNS запись, была принята в качестве стандарта еще в 2013 году, однако с тех пор являлась необязательной. С помощью данной DNS записи владелец домена мог указывать удостоверяющий центр, имеющий право выпускать SSL/TLS-сертификаты для указанного домена.

Запись CAA в DNS позволяет избежать несанкционированной выдачи сертификата, что делается либо случайно, либо целями фишинга или каких-либо других атак.

Структура записи CAA:

FQDN CAA флаги свойство значение

Пример:

nemcd.com 3600 IN CAA 0 issue "comodoca.com"

Эта запись означает, что для домена nemcd.com сертификаты может выпускать только удостоверяющий центр Comodo.

В записи CAA еще применяется флаг iodef, он тоже является обязательным для удостоверяющих центров. Этот флаг позволяет указать email (или URL) для связи с владельцем домена – это позволит отправлять отчеты обо всех запросах на сертификаты для данного домена, которые будут конфликтовать с политикой CAA.

Пример CAA с iodef:

nemcd.com. CAA 0 iodef mailto:alert@nemcd.com

Для запрета выпуска сертификата для всех центров сертификации для указанного в названии записи домена или субдомена необходимо использовать точку с запятой (;) вместо доменного имени центра сертификации.

Пример:

nemcd.com. CAA 0 issue ";"

Как проверить запись DNS CAA?

Я встречал несколько вариантов использования dig для проверки, но на моей системе так не работает, возможно нужна специальная или какая-то новая версия dig

dig +short +noshort example.com CAA
dig example.com caa

Так работает, но выдает не по-человечески

dig google.com type257

dig type 257

Есть еще вариант использовать специальную утилиту dnscaa
Должно быть в таком виде:

$ digcaa google.com
 
1 records found
google.com. 86399   IN  CAA 0 issue "symantec.com"

Я попробовал, однако программа написана на Go (Golang), а у меня его в системе нет и устанавливать ради мелкой утилиты не хотелось.

Самый простой вариант — используем DNS сервис Google и смотрим прямо в браузере.

check caa domain dns google

Да, чуть было не забыл, дам еще совет.
Для создания CAA записи есть он-лайн помощники, например, вот — ссылка

dns editor Сloudns

Кстати редактор DNS у ClouDNS довольно удобный, смотрите, как легко добавить запись в ДНС и бесплатное размещение на четырех серверах ДНС в разных странах.

Фразы: CAA домена, Comodo PositiveSSL CAA DNS, CAA запись домена, центр сертификации доменов.

Поделиться с друзьями или в соц.сетях (спасибо)
Ещё похожие заметки:

Написать

Копирование информации с сайта возможно только с указанием прямой ссылки - https://nemcd.com