CAA‑post
Certification Authority Authorization (CAA) är en DNS‑post som låter domänägaren specificera vilka certifikatutfärdare (CA) som är auktoriserade att utfärda certifikat för domänen. Publicering av CAA‑poster ger CA:er möjlighet att kontrollera och avvisa utgivning från icke‑auktoriserade utfärdare och kan även styra notifieringar vid försök till otillåten utfärdelse.
Vad är en CAA‑post
En CAA‑post (Certification Authority Authorization) är en post i domänens DNS‑zon som talar om vilken certifikatutfärdare som får utfärda SSL-certifikat till domänen. Om ingen CAA‑post finns listad i DNS kan varje CA utfärda ett certifikat för den domänen. Om en CAA‑post finns, får endast de CA:er som listas i posterna utfärda certifikat för domänen. CAA‑poster kan ställa in domänövergripande policyer eller specifika namn. CAA‑poster ärvdes också av underdomäner, så en CAA‑post som sätts in i example.net kommer också att gälla för alla underdomäner, som subdomains.example.net.
- CAA‑poster specificeras i RFC 6844.
- I mars 2017 röstades skyldigheten att kontrollera CAA‑domänposter i CAB‑forumet, och från och med den 8 september 2017 är alla offentliga CA:er skyldiga att kontrollera CAA‑domänposter innan ett certifikat utfärdas och avvisa certifikatsförfrågan om CAA‑posten finns och CA:n inte är listad där.
Värden för CAA‑poster
Det kanoniska presentationsformatet för CAA‑posten är: CAA <flags> <tag> <value>
- <flags> (0 – 255) Standardvärdet är 0 (obligatoriskt). Om du sätter 1 blockeras valideringen om taggen är okänd av CA:n. Vi rekommenderar att du sätter det till "0".
Varje CA kan vidare specificera sina egna parametrar i termer av värden. - Taggparametrarna <tag>
- issue tillåter utfärdande av alla typer av certifikat från angiven CA
- issuewild låter dig tillåta utfärdande av WildCard‑certifikat separat
Genom att specificera 0 issuewild ";" anger vi att inga WildCard‑certifikat ska utfärdas för domänen
Egenskapen issuewild har samma syntax och semantik som egenskapen issue, förutom att issuewild‑egenskaper endast ger auktorisation att utfärda certifikat som specificerar en wildcarddomän och issuewild‑egenskaper har företräde framför issue‑egenskaper när de specificeras. - iodef anger e‑postadressen eller webbtjänstadressen för rapportering av policyöverträdelser som anges i CAA‑poster av en certifikatutfärdare
- <value>
Exempel på CAA‑poster i DNS:
- sslmentor.com. IN CAA 0 issue "sectigo.com" | certifikat kan utfärdas av Sectigo
- sslmentor.com. IN CAA 0 issue "letsencrypt.org" | certifikat kan utfärdas av Let's Encrypt
- sslmentor.com. IN CAA 0 issuewild "sectigo.com" | ENDAST Sectigo kan utfärda Wildcard‑certifikat
- sslmentor.com. IN CAA 0 iodef "mailto:info@sslmentor.cz" | kontakt för notifieringar
Hur man ställer in en CAA‑post
Innan vi placerar en CAA‑post i DNS‑zonen är det lämpligt att generera den med hjälp av en av de online‑tjänster som finns. Ett sådant verktyg är SSLMate (CAA Record Helper), som erbjuder ett val av många certifikatutfärdare. Allt du behöver göra är att välja din föredragna utfärdare, oavsett om du vill kunna utfärda ett certifikat eller till och med ett WildCard, så kommer generatorn att erbjuda poster för insättning i DNS:en.
Infoga CAA‑post i DNS
För att kunna infoga en CAA‑post måste DNS‑postleverantören stödja det. Numera bör varje webbhotell eller registrar erbjuda möjligheten att ange CAA‑poster i DNS:en. Bilderna visar hur man gör detta hos vissa webbhotell. Det är alltid nödvändigt att vänta på att det ska spridas efter att ha infogat CAA‑poster. Om webbhotellet kräver det, glöm inte att få nya DNS‑poster publicerade på Internet. Till exempel måste du bekräfta "Tillämpa ändringar".
Kontrollera CAA‑post
Allteftersom DNS‑poster sprids kan vi använda några av de online‑verktyg som finns för att kontrollera om vi framgångsrikt har laddat upp CAA‑poster. Till exempel, dnsspy.io/labs/caa-validator eller genom att lista en CAA‑post i DNS med digwebinterface.com
Vad vill du läsa härnäst?
Tillbaka till Hjälp
Hittat ett fel eller förstår du inte något? Skriv till oss!
