Registre CAA - autorització de l'autoritat de certificació

El registre de tipus CAA (Autorització d'Autoritat de Certificació) defineix la política de creació de certificats SSL/TLS en el domini seleccionat. L'objectiu és aturar la creació de certificats falsos i augmentar la confiança de la connexió https amb el servidor.

Simplement especifiqui quina autoritat de certificació pot emetre el certificat o qui ha de ser notificat si algú intenta emetre el certificat injustificadament.

Un registre CAA defineix una autoritat de certificació. En un domini, pot haver-hi més d'un registre, que es complementen entre si.

El propi registre per a l'ús de certificats SSL / TLS no és una obligació. Sense utilitzar aquesta entrada, qualsevol certificat SSL/TLS pot ser emès per qualsevol autoritat de certificació.

 

Estructura del registre CAA:

Flags: Defineix la gravetat d'un conflicte de violació de registre C & A (la regla és 0 per defecte)

TAG:   issue per al domini; 
       issuewild per a tots els subdominis 
       iodef defineix el lloc web o adreça de correu electrònic si la norma és violada.

Value: Una cadena de text (com una adreça URL o una bústia de correu electrònic)


Exemple d'ús de CAA:

En la majoria dels casos només ha de definir el domini principal, o també els seus subdominis (issuewild).

No obstant això, pot haver-hi un subdomini que executa una botiga on line que requereix un tipus de certificat més segur que altres dominis. En aquest cas, pot barrejar regles que es complementin entre si.

Per tant, es pot definir una autoritat de certificació per a un subdomini específic i una altra per a tots els altres subdominis.

De la mateixa manera, pot definir una adreça e-mail de contacte per a un subdomini, per exemple, un administrador de botiga electrònica, i una altra adreça per al domini principal.

domain.xy.     1800 IN CAA 0 issue "letsencrypt.org"     -per al domini principal pot ser només Let's Encrypt
domain.xy.     1800 IN CAA 0 issuewild "rapidssl.com"    -per a tots els subdominis(*.domain.xy) només RapidSSL 
sub.domain.xy. 1800 IN CAA 0 issue "thawte.com"          -per aquest subdomini el certificat emès per Thawte
sub.domain.xy. 1800 IN CAA 0 iodef "mailto:caa@domain.xy"-les violacions de les regles es notificaran caa@domain.xy