• Zilore идеален для разработчиков, системных администраторов, веб-сайтов организаций и распределенных высоконагруженных веб-сервисов

Новый тип DNS-записи — CAA

zilore • 29.08.2017

Всем привет!

Мы добавили поддержку нового типа DNS-записи — CAA.

CAA (Certification Authority Authorization) -запись предназначена для определения центров сертификации, которым разрешен выпуск SSL/TLS-сертификатов для определенного доменного имени или субдомена.

Каждый центр сертификации, начиная с 8 сентября 2017 года будет обязан строго следовать инструкциям, указанным в CAA-записях доменного имени или субдомена для которого запрашивается выпуск сертификата.

Использование CAA-записи позволит повысить уровень безопасности в сети Интернет и сократить случаи неавторизованного получения сертификатов для сторонних доменных имен.

Для вашего удобства мы запустили онлайн-генератор CAA-записей, который поможет правильно сформировать необходимые CAA-записи для вашего доменного имени — caa.zilore.com.

Мы подготовили подробную инструкцию, которая разъясняет возможности CAA-записи и формат ее использования.

Формат записи:

CAA <flags> <tag> <value>

Значение CAA-записи состоит из трех частей, разделенных пробелом:

flag

Значение flag представляет собой 8-битное число, старший бит которого обозначает критичность понимания записи центром сертификации. В данный момент допустимы следующие значения:

0

Если значение tag не поддерживается или не распознается центром сертификации, то центру сертификации разрешено по своему усмотрению выпустить сертификат для доменного имени или субдомена.

128

Если значение tag не поддерживается или не распознается центром сертификации, то центр сертификации не должен выпускать сертификат для доменного имени или субдомена.

tag

Значение tag может принимать одно из следующих значений:

issue

Определяет центр сертификации, которому разрешена выдача сертификата, для используемого в названии записи доменного имени или субдомена.

issuewild

Определяет центр сертификации, которому разрешена выдача wildcard-сертификата, для используемого в названии записи доменного имени или субдомена. Сертификат распространяется на доменное имя или субдомен непосредственно и на все его субдомены.

iodef

Определяет адрес электронной почты или URL (соответствующий стандарту RFC 5070), который центр сертификации должен использовать для уведомлений, в случае получения запроса на выпуск сертификата в нарушении определенных CAA-записью правил для доменного имени.

value

Значение value зависит от значения tag и должно быть заключено в двойные кавычки («»).

Некоторые центры сертификации позволяют использовать дополнительные параметры для значения value. В этом случае, параметры должны быть разделены точкой с запятой (;).

Пример: 0 issue «comodoca.com; account=12345»

В случае, если tag = issue

Доменное имя центра сертификации, которому разрешен выпуск сертификата для указанного в названии записи доменного имени или субдомена.

Пример: example.com. CAA 0 issue «comodoca.com»

Для запрета выпуска сертификата для всех центров сертификации для указанного в названии записи доменного имени или субдомена необходимо использовать точку с запятой (;) вместо доменного имени центра сертификации.

Пример: example.com. CAA 0 issue «;»

В случае, если tag = issuewild

Аналогично случаю, когда tag = issue, за исключением, что правило применяется для wildcard-сертификатов.

Пример: example.com. CAA 0 issuewild «comodoca.com»

Пример: example.com. CAA 0 issuewild «;»

В случае, если tag = iodef

Адрес электронной почты («mailto:abuse@example.com») или URL («http(s)://URL»), который центр сертификации должен использовать в случае получения неавторизованного запроса для выдачи сертификата для используемого в названии записи доменного имени или субдомена.

Пример: example.com. CAA 0 iodef «mailto:abuse@example.com»

Особенности:

Значение записи для доменного имени или субдомена наследуется на все его субдомены, если явно не задано другое.

Для определения двух и более центров сертификации для одного доменного имени или субдомена нужно использовать несколько CAA-записей.

Отсутствие CAA-записи будет интерпретироваться любым центром сертификации как разрешение на выпуск сертификата.

Полная спецификация CAA-записи доступна в документе RFC 6844.

Как проверить?

dig zilore.com caa

Команда Zilore.