CAA – dlaczego warto i jak wdrożyć

We wrześniu pisaliśmy o nowym obowiązku wystawców certyfikatów SSL, którzy od 8 września 2017 muszą weryfikować rekordy CAA w rekordach DNS klientów ubiegających się o wydanie certyfikatu. Jeśli jesteś administratorem witryn teraz dysponujesz dodatkowym narzędziem ochrony przed nieprawidłowym wydaniem certyfikatu SSL.

Popularność CAA

W związku z szumem wokół CAA w roku 2017 liczba jego wdrożeń znacznie wzrosła. SSL Pulse informuje, że liczba stron korzystających z CAA podwoiła się od września 2017 r., a w całym roku wzrosła ponad dziesięciokrotnie. Mimo to nawet przy takim tempie wzrostu, tylko kilka tysięcy stron internetowych używa CAA, przez co pozostaje on niszowym mechanizmem bezpieczeństwa…

Korzyści wynikające z wdrożenia CAA

CAA to nie tylko mechanizm bezpieczeństwa. Oprócz minimalizacji ryzyka poprzez ograniczenie uprawnień Urzędów Certyfikacji do wydawania certyfikatów dla Twojej domeny, CAA jest również przydatnym narzędziem do egzekwowania zasad firmy związanych z certyfikatami SSL.

Wiele organizacji boryka się z problemem przestrzegania swoich zasad dotyczących zakupu i wdrażania certyfikatów SSL. Jest to szczególnie ważne w dużych organizacjach z wieloma biurami lub oddziałami.

Przykład
Jeśli ktoś w Twojej firmie tworzy nową usługę w Waszej domenie i zażąda certyfikatu, będzie on mógł skorzystać z ograniczonej listy zatwierdzonych Urzędów. Możesz też skonfigurować adres URL raportowania lub adres e-mail, aby otrzymywać powiadomienia od CA, gdy otrzymają one żądanie, którego nie mogą zrealizować.

Jak wdrożyć CAA

Zważywszy, że większość administratorów nie wdrożyła jeszcze CAA, przygotowaliśmy krótką instrukcję. CAA jest dość łatwym w użyciu mechanizmem i wiąże się ze znacznie mniejszym ryzykiem błędów konfiguracyjnych lub operacyjnych niż inne mechanizmy, takie jak HSTS lub HPKP.

Istnieje techniczny warunek wstępny używania CAA. Jeśli korzystasz z zarządzanego systemu DNS, dostawca musi dodać obsługę CAA, ponieważ jest to nowy rekord zasobu DNS.

• Określ, które CA (Urzędy) są wykorzystywane przez Twoją organizację. Stwórz listę. Jeśli lista ma zawierać „aż” 10 Urzędów to i tak warto;
• Użyj listy, aby wprowadzić CA do rekordu CAA;
• Zawsze możesz zaktualizować rekord CAA, jeśli chcesz zmienić listę Urzędów Certyfikacji
• Utwórz rekord DNS CAA.

Przykład rekordu CAA

Rekord, który umożliwiłby DigiCert wydawanie certyfikatów dla witryny:

yourdomain.com. CAA 0 issue digicert.com

Ten rekord dotyczyłby wszystkich subdomen w domenie. Jeśli chcesz zezwolić na dodatkowe urzędy certyfikacji, dla każdego urzędu certyfikacji zostanie utworzony nowy wiersz.

Ela Kornaś

Od 15 lat zajmuje się technologiami hostingowymi, domenowymi oraz związanymi z bezpieczeństwem. Odpowiada za produkty domenowe oraz certyfikaty SSL. Codzienna praca polega na zapewnianiu Ci najciekawszej na rynku oferty nazw domenowych i certyfikatów SSL. Prywatnie uwielbia tenis i bieganie.