- PVSM.RU - https://www.pvsm.ru -
CAA (Certification Authority Authorization) — это новый тип DNS-записи, предназначенный для определения центров сертификации, которым разрешен выпуск SSL/TLS-сертификатов для определенного доменного имени или субдомена.
Каждый центр сертификации, начиная с 8 сентября 2017 года будет обязан [1] строго следовать инструкциям, указанным в CAA-записях доменного имени или субдомена для которого запрашивается выпуск сертификата.
Использование CAA-записи позволит повысить уровень безопасности в сети Интернет и сократить случаи неавторизованного получения сертификатов для сторонних доменных имен.
Я подготовил подробную инструкцию, которая разъясняет возможности CAA-записи и формат ее использования.
Формат записи:
CAA <flags> <tag> <value>
Значение CAA-записи состоит из трех частей, разделенных пробелом:
flag
Значение flag представляет собой 8-битное число, старший бит которого обозначает критичность понимания записи центром сертификации. В данный момент допустимы следующие значения:
tag
Значение tag может принимать одно из следующих значений:
value
Значение value зависит от значения tag и должно быть заключено в двойные кавычки ("").
Некоторые центры сертификации позволяют использовать дополнительные параметры для значения value. В этом случае, параметры должны быть разделены точкой с запятой (;).
Пример: 0 issue "comodoca.com; account=12345"
Пример: example.com. CAA 0 issue "comodoca.com"
Пример: example.com. CAA 0 issue ";"
Пример: example.com. CAA 0 issuewild "comodoca.com"
Пример: example.com. CAA 0 issuewild ";"
Пример: example.com. CAA 0 iodef "mailto:abuse@example.com"
Особенности:
Как проверить?
dig example.com caa
Кто поддерживает?
CAA-запись поддерживают не все DNS-провайдеры. Актуальный список по состоянию на 30 августа 2017 года в алфавитном порядке:
Afraid.org Free DNS [4]
Amazon Route 53 [5]
BuddyNS [6]
Cloudflare [7]
ClouDNS [8]
Constellix DNS [9]
DNSimple [10]
DNS Made Easy [11]
Dyn Managed DNS [12]
Domeneshop [13]
Google Cloud DNS [14]
Gandi [15]
Hurricane Electric Free DNS [16]
Neustar UltraDNS [17]
NS1 [18]
Zilore [19]
Онлайн генераторы?
Вы можете воспользоваться этим [20] или этим [21] онлайн-генератором для правильного и быстрого создания необходимых CAA-записей.
Автор: mnasonov
Источник [22]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/dns-2/263006
Ссылки в тексте:
[1] будет обязан: https://cabforum.org/2017/03/08/ballot-187-make-caa-checking-mandatory/
[2] RFC 5070: https://tools.ietf.org/html/rfc5070
[3] RFC 6844: https://tools.ietf.org/html/rfc6844
[4] Afraid.org Free DNS: https://freedns.afraid.org
[5] Amazon Route 53: https://aws.amazon.com/ru/route53/
[6] BuddyNS: https://www.buddyns.com
[7] Cloudflare: https://www.cloudflare.com
[8] ClouDNS: https://www.cloudns.net/index/lang/ru/
[9] Constellix DNS: https://constellix.com
[10] DNSimple: https://dnsimple.com/
[11] DNS Made Easy: https://dnsmadeeasy.com/
[12] Dyn Managed DNS: https://dyn.com/dns/managed-dns/
[13] Domeneshop: https://domene.shop
[14] Google Cloud DNS: https://cloud.google.com/dns/
[15] Gandi: https://www.gandi.net/en
[16] Hurricane Electric Free DNS: https://dns.he.net/
[17] Neustar UltraDNS: https://www.neustar.biz/security/dns-services
[18] NS1: https://ns1.com
[19] Zilore: https://zilore.com/ru
[20] этим: https://caa.zilore.com
[21] этим: https://sslmate.com/labs/caa/
[22] Источник: https://habrahabr.ru/post/336738/
Нажмите здесь для печати.