Certifikační autority se nyní řídí CAA záznamem

5. 4. 2019 | Jindřich Zechmeister

Certifikační autority a prohlížeče sdružené v tzv. CA/B foru přijaly společný postup, který je zavazuje respektovat a řídit se informacemi uvedenými v CAA záznamu domény, pro kterou mají vystavit SSL certifikát. Dodržování CAA záznamu bylo dosud pouze dobrovolné a držely se ho největší certifikační autority na trhu, zatímco menší nikoliv. Co je jeho cílem a jak funguje se dozvíte v našem článku.

Co je to CAA záznam?

CAA záznam v DNS zóně domény slouží k autorizaci certifikační autority, která může pro tuto doménu vydávat SSL/TLS certifikát. Pokud je u domény uveden CAA záznam, tak ostatní certifikační autority jej musí respektovat a nemohou certifikát vydat, pokud nejsou v CAA uvedeny. 

Původ tohoto typu DNS záznamu se datuje už do roku 2013 a na našem blogu jsme se mu už jednou věnovali v článku CAA záznam v DNS - další možnost zvýšení bezpečnosti. CAA záznam v DNS má samostatnou technickou normu v podobě RFC6844 s názvem DNS Certification Authority Authorization (CAA) Resource Record. V DNS zóně domény je potřeba využít přímo tento samostatný typ záznamu.

Dříve dobrovolná kontrola je nyní povinná

Nyní už je zřejmé, k čemu má CAA záznam sloužit. Zatím nezískal na popularitě zejména proto, že jeho použití bylo prakticky zbytečné - certifikační autority nebyly zavázány se jím řídit a uživatel nevěděl, proč vlastně záznam nastavuje a které autority ho respektují. Zejména menší CA, které mohly být pro majitele domén zvýšeným rizikem, se CAA záznamem neřídily.

Tento stav je nyní narovnán a záznam bude mít konečně smysl, protože jeho respektování je povinné pro všechny certifikační autority. Dokument, ve kterém se členové CA/B fora ke kontrole zavazují, se nazývá Ballot 187.

Jak CAA záznam nastavit

CAA záznam je poměrně jednoduchý údaj přidaný do DNS zóny domény. Bohužel byl pro něj vytvořen vlastní typ záznamu, který předpokládá zavedení podpory v DNS manažerech a zónách webhosterů. Pokud by byla informace uchována v TXT záznamu, byla by možnost využití nové ochrany daleko lepší.

Pokud máte v DNS zóně domény možnost nastavit tento typ záznamu, pak se do toho můžete pustit. Pro certifikační autority vlastněné Symantecem můžete záznam nastavit samostatně podle jednotlivých CA, které hodláte využívat. Můžete však udělat jeden záznam pro všechny čtyři CA dohromady; takový záznam tedy umožňuje vystavení certifikátu všem čtyřem CA, které Symantec vlastní.

Instrukce pro jednotlivé CA

CAA záznam pro jednotlivé certifikační autority je následující. Nastavte ho, pokud chcete CAA záznamem dané autoritě povolit vystavení certifikátu a ostatním CA v tom zamezit.

• DigiCert: domena.com. 3600 IN CAA 0 issue "digicert.com"
• Symantec: domena.com. 3600 IN CAA 0 issue "symantec.com"
• Thawte: domena.com. 3600 IN CAA 0 issue "thawte.com"
• GeoTrust: domena.com. 3600 IN CAA 0 issue "geotrust.com"
• RapidSSL: domena.com. 3600 IN CAA 0 issue "rapidssl.com"

Záznam s digicert.com zahrnuje všechny zmíněné CA. Stačí tedy nastavit pouze první z uvedených.

Rozlišení wildcard certifikátů

Parametr issue dovoluje vystavení všech typů certifikátů. CAA záznam však můžete rozdělit na "normální" certifikáty a na Wildcard certifikáty. Chcete-li samostatně povolit vystavení Wildcard certifikátů, použijte místo "issue" text "issuewild". Odlišením běžného certifikátu a Wildcardu lze nastavit odlišné preference každému ze dvou zmíněných typů. 

Naopak pokud chcete nastavit záporný záznam, nastavte místo názvu CA pouze ";". Například doména, jejíž majitel si nepřeje vystavit Wildcard certifikát, bude mít v CAA záznamu issuewild ";" .

CAA záznamy můžete ignorovat a nic se nestane

Pokud nechcete CAA záznam u své domény využívat, tak můžete CAA záznamy zcela ignorovat a vystavování certifikátů pro vaši doménu to nijak neovlivní. Přijdete pouze o možnost korigovat seznam CA, které pro vaši doménu mohou vystavit certifikát. CAA záznam pro vystavení certifikátu od certifikační autority nepotřebujete a není povinný.

Pokud byste měli problém s vystavením certifikátů v kolizi s CAA záznamem, obraťte se na podporu SSLmarketu, která Vám ráda poradí a pomůže problém vyřešit.

Zdroj

https://www.digicert.com/dns-caa-rr-check.htm