Авторизация центра сертификации


Авторизация центра сертификации (CAA, RFC6844) предназначена для снижения риска выдачи сертификата SSL/TLS без предварительного ведома владельца.

Как это работает

Самое простое описание CAA состоит в том, что это DNS-запись, содержащая список CAS, разрешенных для выдачи сертификатов для вашего домена. Центр сертификации должен проверить эту запись перед выдачей сертификата и выдать сертификата только в том случае, если он уполномочен на это.
Запись CAA имеет следующую структуру:
flag tag ca

  • flag‘ может содержать только 0 или 128, 0 определяет запись как обязательную, 128 делает ее необязательной. Мы советуем установить его на “0”
  • tag‘ задает тип записи САА, он может содержать issue или issuewild. Это определяет следующие параметры;
    • ‘issue’ позволит CA выпустить только “обычный” сертификат для одного домена.
    • ‘issuewild’ означает, что центр сертификации может выдать wildcard сертификат.
  • ca‘ указывает на то, какие центры сертификации имеют право выпускать сертификат (ы).

Настройка CAA

На sslmate есть отличный инструмент – CAA Record Generator – его название говорит само за себя! Просто зайдите на сайт, добавьте доменное имя, выберите СА, которым вы даёте разрешение на выпуск сертификатов и укажите адрес для отправки отчётов о несанкционированных действиях в отношении домена, идущих вразрез с вашей политикой выпуска сертификатов – и всё готово. Инструмент сгенерирует для вас DNS (CAA) запись, которую вы можете скопировать в вашу DNS зону. DNS зона с простейшей CAA записью будет выглядеть так:
Простой пример для Comodo
example.com. IN CAA 0 issue "comodoca.com"
Простой пример для Symantec
example.com. IN CAA 0 issue "symantec.com"
Простой пример для RapidSSL
example.com. IN CAA 0 issue "rapidssl.com"
Простой пример для Thawte
example.com. IN CAA 0 issue "thawte.com"
Простой пример для GeoTrust
example.com. IN CAA 0 issue "geotrust.com"

Меню