O que é a CAA?
A Autorização de autoridade de certificação (CAA) é para garantir que os certificados HTTPS sejam emitidos por autoridades de certificação (ACs) autorizadas. CAA está em conformidade com todos os requisitos IETF RFC 6844. A partir de 8 de setembro de 2017, todas as ACs são obrigadas a verificar os registros CAA antes de poderem emitir certificados.
Especificações da CAA
Os proprietários de nomes de domínio podem criar registros CAA para especificar ACs autorizadas que podem emitir certificados SSL.
Somente ACs autorizadas podem emitir certificados SSL para os nomes de domínio usados pelo seu site. Definir registros CAA aumenta a segurança do seu site.
As ACs realizarão uma pesquisa de DNS para registros CAA quando emitirem certificados.
- Se uma AC não encontrar um registro CAA, ela pode emitir um certificado para o nome de domínio.
Quaisquer outras ACs também podem emitir certificados para esse nome de domínio, mas esses certificados podem ser inseguros e haverá mensagens indicando que seu site é inseguro quando os usuários finais acessarem seu site.
- Se a AC encontrar um registo CAA que a autorize a emitir certificados, emitirá um certificado para o nome de domínio.
- Se a AC encontrar um registo CAA que não o autorize a emitir certificados, a AC não poderá emitir certificados SSL para o nome de domínio.
Registro CAA
Um registro CAA consiste em um sinalizador byte [flag], uma tag de propriedade e um valor de propriedade [tag]-[value]. Você pode criar vários registros CAA para um nome de domínio.
Função |
Exemplo |
Descrição |
---|---|---|
Configurar um registro CAA para um nome de domínio. |
0 issue "ca.example.com" |
Somente a AC especificada (ca.example.com) pode emitir certificados para um nome de domínio específico (domain.com). As solicitações de emitir certificados para o nome de domínio por outras ACs serão rejeitadas. |
0 issue ";" |
Nenhuma AC tem permissão para emitir certificados para o nome de domínio domain.com. |
|
Configurar a AC para relatar violações ao proprietário do nome de domínio. |
0 iodef "mailto:admin@domain.com" |
Se uma solicitação de certificado violar o registro da CAA, a AC notificará o proprietário do nome de domínio sobre a violação. |
0 iodef "http:// domain.com/log/" 0 iodef "https:// domain.com/log/" |
As solicitações de emitir certificados por ACs não autorizadas serão registradas. |
|
Autorizar uma AC a emitir certificados curinga. |
0 issuewild "ca.example.com" |
A AC especificada (ca.example.com) pode emitir certificados curinga para o nome de domínio. |
Exemplo de configuração |
0 issue "ca.abc.com" 0 issuewild "ca.def.com" 0 iodef "mailto:admin@domain.com" |
O exemplo configura um registro CAA para o nome de domínio domain.com.
|
Verificar se um registro CAA teve efeito
Use Domain Information Groper (dig) para verificar se o registro CAA entrou em vigor. dig é uma ferramenta de linha de comando de administração de rede para consultar o Sistema de nomes de domínio. Se o seu sistema operacional não suportar comandos de dig, instale a ferramenta de dig.
Formato do comando: dig [tipo de conjunto de registros] [nome do domínio] +trace.
Exemplo de comando:
dig caa www.example.com +trace