CAA-record
Het Certification Authority Authorization (CAA) DNS Resource Record stelt een domeinnaamhouder in staat om specifieke certificeringsinstanties (CAs) aan te geven die gemachtigd zijn om certificaten voor dat domein uit te geven. Publicatie van CAA Resource Records stelt een openbare certificeringsinstantie in staat om extra controles te implementeren om het risico van onbedoelde certificaatverstrekking te verminderen.
Het record maakt het ook mogelijk om meldingsregels in te stellen wanneer iemand een certificaat aanvraagt bij een niet-geautoriseerde CA. Het plaatsen van een CAA-record in een DNS-domein is een andere manier om de beveiliging van internet te verbeteren.
Wat is een CAA-record
Een CAA (Certification Authority Authorization) record is een record in de DNS-zone van een domein dat aangeeft welke certificeringsinstantie gemachtigd is om SSL-certificaten uit te geven voor het domein. Als er geen CAA-record is vermeld in de DNS, kan elke CA een certificaat uitgeven voor dat domein. Als er wel een CAA-record aanwezig is, mogen alleen de CAs die in de records zijn vermeld certificaten uitgeven voor het domein. CAA-records kunnen domeinbrede beleidsregels of specifieke namen instellen. CAA-records worden ook overgeërfd door subdomeinen, dus een CAA-record ingevoegd in example.net is ook geldig op elk subdomein, zoals subdomeinen.example.net.
- CAA-records worden gespecificeerd in RFC 6844.
- In maart 2017 werd de verplichting om CAA-domeinrecords te controleren gestemd in het CAB-forum en vanaf 8 september 2017 zijn alle openbare CAs verplicht om CAA-domeinrecords te controleren voordat ze een certificaat uitgeven en de certificaataanvraag af te wijzen als het CAA-record bestaat en de CA daar niet is vermeld.
Waarden van CAA-record
De canonieke presentatie-indeling van het CAA-record is: CAA <flags> <tag> <value>
- <flags> (0 – 255) De standaard is 0 (vereist). Als u 1 instelt, wordt de validatie geblokkeerd als de tag onbekend is bij de CA. We raden aan om dit in te stellen op "0".
Elke CA kan verder zijn eigen parameters specificeren in termen van waarden. - De <tag>-parameters
- issue staat de uitgifte toe van alle soorten certificaten van de gespecificeerde CA
- issuewild staat afzonderlijk toe om WildCard-certificaten uit te geven
Door bijvoorbeeld 0 issuewild ";" aan te geven, geven we aan dat er geen WildCard-certificaten moeten worden uitgegeven op het domein
De issuewild-eigenschap heeft dezelfde syntaxis en semantiek als de issue-eigenschap, behalve dat issuewild-eigenschappen alleen machtigingen verlenen om certificaten uit te geven die een wildcard-domein specificeren, en issuewild-eigenschappen hebben voorrang op issue-eigenschappen wanneer ze zijn gespecificeerd. - iodef stelt het e-mailadres of de webserviceadres in voor het melden van beleidsschendingen vermeld in CAA-records door een certificeringsinstantie
- <value>
Voorbeeld van CAA-recordindeling in DNS:
- Domein Type Waarde | notitie
- sslmentor.com. IN CAA 0 issue "sectigo.com" | certificaat kan worden uitgegeven door CA Sectigo
- sslmentor.com. IN CAA 0 issue "letsencrypt.org" | certificaat kan worden uitgegeven door Let's Encrypt
- sslmentor.com. IN CAA 0 issuewild "sectigo.com" | ALLEEN CA Sectigo kan een WildCard-certificaat uitgeven
- sslmentor.com. IN CAA 0 iodef "mailto:info@sslmentor.cz" | contact voor meldingen van schendingen
Hoe stelt u een CAA-record in
Voordat we een CAA-record in de DNS-zone plaatsen, is het raadzaam om het te genereren met behulp van een van de online services. Een dergelijke tool is SSLMate (CAA Record Helper), die een keuze biedt uit veel certificeringsinstanties. U hoeft alleen uw voorkeursinstantie te kiezen, of u kunt elk certificaat uitgeven of zelfs een WildCard, en de generator biedt records aan voor invoeging in de DNS.
Invoegen van CAA-record in DNS
Om een CAA-record in te voegen, moet de DNS-recordleverancier dit ondersteunen. Tegenwoordig zou elke hosting of registrar de mogelijkheid moeten bieden om CAA-records in DNS in te voegen. De afbeeldingen tonen de invoeging bij sommige hostingdiensten. Het is altijd nodig om te wachten totdat deze zijn uitgebreid na het invoegen van CAA-records. Als de hosting dit vereist, vergeet dan niet om nieuwe DNS-records te publiceren naar het internet. U moet bijvoorbeeld "Wijzigingen toepassen" bevestigen.
Controleren van CAA-record
Zodra DNS-records zijn uitgebreid, kunnen we enkele online tools gebruiken om te controleren of we succesvol CAA-records hebben geüpload. Bijvoorbeeld dnsspy.io/labs/caa-validator of door een CAA-record in DNS op te sommen met digwebinterface.com
Waar nu naartoe?
Terug naar Help
Een fout gevonden of iets niet begrepen? Schrijf ons!