Mi az a CAA rekord és hogyan kell beállítani a DNS-ben?

3. Webtárhely > SSL
A CAA (Certification Authority Authorization) rekord egy DNS rekord, amely meghatározza, hogy mely tanúsító hatóságok (CA-k) jogosultak SSL/TLS tanúsítványok kiadására egy adott domainhez.
2017. szeptember 8. óta minden nyilvános tanúsító hatóságnak (CA) ellenőriznie kell a CAA rekordot a tanúsítvány kiadása előtt a CA/Browser Forum követelményeinek megfelelően. Ha létezik CAA rekord és a tanúsító hatóság nem szerepel benne, a tanúsítvány kérést el kell utasítani.
Ha egy domainhez nem tartozik CAA rekord, bármely nyilvános CA kiállíthat hozzá tanúsítványt. Miután beállítottak egy CAA rekordot, csak a rekordban felsorolt CA-k állíthatnak ki tanúsítványokat.

Példa a CAA rekord formátumára:

Domain névTTLRekord típusTagÉrtékMegjegyzés
domain.tld.1800IN CAAissue"actalis.it"
A tanúsítványt az Actalis CA állíthatja ki
domain.tld.1800IN CAAissue"digicert.com"
A tanúsítványt a DigiCert CA állíthatja ki (RapidSSL és GeoTrust tanúsítványokat is lefed)
domain.tld.1800IN CAAissue"letsencrypt.org"
A tanúsítványt a Let's Encrypt állíthatja ki

Tag értékei:
  • issue: felhatalmazza a tanúsító hatóságot a domainhez tartozó tanúsítványok kiadására.
  • issuewild: felhatalmazza a tanúsító hatóságot wildcard tanúsítványok kiadására. A wildcard tanúsítványok kifejezett letiltásához a 0 issuewild ";" értéket kell beállítani.
CAA rekord létrehozása:
A CAA rekordok könnyen létrehozhatók online eszközökkel, például az SSLMate CAA Record Helper segítségével. Ez lehetővé teszi a kívánt CA kiválasztását, a wildcard kibocsátás meghatározását és a domainhez tartozó megfelelő DNS rekord formátum létrehozását.

Népszerű tanúsító hatóságok:
DigiCert (including GeoTrust and RapidSSL)
       issue "digicert.com"

Let's Encrypt
       issue "letsencrypt.org"
Article ID: 914, , Modified: Yesterday at 11:40 AM

Was this article helpful?

Share this article