CAA záznam - autorizace certifikační autority

Záznam typu CAA (Certification Authority Authorization) definuje politiku vystavení SSL/TLS certifikátu na zvolené doméně. Cílem je zamezení vystavování podvržených certifikátů a tím zvýšení důvěryhodnosti https spojení se serverem.

Jednoduše určíte, která certifikační autorita může certifikát vystavit, případně kdo má být upozorněn, pokud se někdo neoprávněně pokusí certifikát vydat.

Jeden CAA záznam definuje jednoho vydavatele certifikátů. Záznamů může být na jedné doméně vyplněno více, ty se pak navzájem doplňují.

Samotný záznam pro využití SSL/TLS certifikátů není povinností. Bez použití tohoto záznamu může SSL/TLS certifikát vystavit jakákoliv certifikační autorita.

 

Struktura CAA záznamu:

Flags: definuje závažnost konfliktu při porušení pravidla (z pravidla se udává 0, maximální hodnota je 255)

TAG:   issue pro doménu; 
       issuewild pro všechny subdomény 
       iodef určuje webovou stránku nebo emailovou adresu při porušení pravidla.

Value: textový řetězec (například URL nebo emailová schránka)


Příklad použití CAA:

Ve většině případů stačí definovat hlavní doménu (issue), případně i její subdomény (issuewild).

Může však dojít k tomu, že na subdoméně poběží e-shop, na kterém bude nutné používat bezpečnější typ certifikátu, než na ostatních doménách. V takovém případě může dojít k prolínání pravidel, která se navzájem doplňují.

Lze tedy definovat certifikační autoritu pro jednu specifickou subdoménu a zároveň jinou autoritu pro všechny ostatní subdomény.

Stejným způsobem nadefinujete jinou kontaktní emailovou adresu u subdomény, například správce e-shopu, a jinou adresu u hlavní domény.

domena.xy.      1800 IN CAA 0 issue "letsencrypt.org"      - pro hlavní doménu smí být vystaven pouze Let's Encrypt
domena.xy.      1800 IN CAA 0 issuewild "rapidssl.com"     - pro všechny subdomény (*.domena.xy) pouze RapidSSL 
sub.domena.xy.  1800 IN CAA 0 issue "thawte.com"           - pro tuhle subdoménu vystavuje certifikát Thawte
sub.domena.xy.  1800 IN CAA 0 iodef "mailto:caa@domena.xy" - o porušení pravidla upozorní na caa@domena.xy