Какво е CAA запис?

Certification Authority Authorization (CAA) е DNS запис, чрез който може да се укаже един или повече сертифициращи органи (CA — certificate authorities), на които е позволено да издадат сертификат за дадения домейн.

Ако няма зададен CAA запис за даден домейн, всеки сертифициращ орган ще може да издаде SSL сертификат за домейна. Ако за домейна има зададен валиден CAA запис, то ще е възможно да бъде издаден сертификат само от сертифициращите органи, които са посочени в записа.

DNS CAA записът се състои от флаг и двойката таг=“стойност„:

goodexample.eu. IN CAA 0 issue „comodoca.com“

0 – флаг: може да бъде 0 или 128; 128 означава, че издателят няма право да издаде сертификат, ако не разбира тага;

issue – таг: може да е:

issue – означава разрешаване на издаването на сертификат;
issuewild – издаването на wildcard сертификат е разрешено;
iodef – метод, по който издателите може да сигнализират при нередност, например ако е изискано издаване на сертификат, което не е оторизирано от CAA записа; може да се посочи имейл адрес или уеб адрес например iodef „mailto:security@example.com“ или iodef „http://iodef.goodexample.eu/„;

„comodoca.com“ – стойност: стойността е домейнът на сертифициращия орган, например: comodoca.com, digicert.com, letsencrypt.org;

Един домейн може да има няколко CAA записа в DNS зоната например:

goodexample.eu. IN CAA 0 issue „comodoca.com“
sub.goodexample.eu. IN CAA 0 issue „digicert.com“
goodexample.eu. IN CAA 0 iodef „mailto:reportca@goodexample.eu“

Когато стойността е празна или не съдържа домейн, това означава, че издаването на сертификат е забранено за всички издатели например:

goodexample.eu. IN CAA 0 issue „;“

Добавяне на CAA запис през cPanel

CAA запис може да се добави за всеки домейн в cPanel, който използва нейм сървърите на СуперХостинг.БГ, през cPanel » Редактор на DNS зони.

Ако домейнът използва DNS хостинг CAA запис може да се създаде през клиентския профил.

За да добавите CAA запис, влезте в cPanel » Редактор на DNS зони.

добавяне на caa запис в cpanel

Проверка на CAA запис

Проверка за наличие на CAA запис за домейна може да се извърши през уеб инструмент като: https://caatest.co.uk.

Или чрез dig:

dig goodexample.eu caa

проверка на caa записа чрез dig

Важно: След промяна на DNS информацията е нужен период за опресняването й – от 2 до 48 часа.
Обновена: 12.10.2022
Беше ли Ви полезна тази статия?

Вижте още