SECURITY GUIDA

CAA Record Lookup: Controlla Chi Può Emettere Certificati per il Tuo Dominio

I record CAA limitano le Certificate Authority autorizzate. Scopri come configurarli per prevenire emissioni non autorizzate.

CAA: il controllo degli accessi per i certificati

I record CAA (Certificate Authority Authorization, RFC 8659) permettono al proprietario di un dominio di specificare nel DNS quali Certificate Authority (CA) sono autorizzate a emettere certificati SSL per quel dominio. Dal settembre 2017, tutte le CA pubbliche sono obbligate a verificare i record CAA prima di emettere un certificato. Se il record CAA non autorizza la CA, l'emissione viene bloccata. Questo previene l'emissione di certificati fraudolenti da CA compromesse o da errori nella validazione.

Senza record CAA, qualsiasi CA al mondo può emettere un certificato per il tuo dominio. Con le circa 150 CA pubbliche esistenti e centinaia di CA intermedie, la superficie di attacco è enorme: basta compromettere una sola CA (o il suo processo di validazione) per ottenere un certificato fraudolento. I record CAA riducono drasticamente questa superficie: se autorizzi solo Let's Encrypt, le altre 149 CA non possono emettere certificati per te, anche se compromesse.

Configurazione dei record CAA

Esempi di record CAA
# Autorizza solo Let's Encrypt
esempio.com. IN CAA 0 issue "letsencrypt.org"

# Autorizza anche DigiCert per wildcard
esempio.com. IN CAA 0 issue "letsencrypt.org"
esempio.com. IN CAA 0 issuewild "digicert.com"

# Blocca tutte le CA (nessun certificato autorizzato)
esempio.com. IN CAA 0 issue ";"

# Notifica tentativi non autorizzati
esempio.com. IN CAA 0 iodef "mailto:security@esempio.com"

Tre tag sono disponibili: issue autorizza una CA a emettere certificati normali, issuewild autorizza l'emissione di certificati wildcard (*.dominio.com), e iodef specifica dove inviare notifiche di tentativi non autorizzati. Se specifichi solo issue senza issuewild, i wildcard ereditano la policy di issue. Se vuoi che solo una CA specifica possa emettere wildcard, usa issuewild esplicitamente.

Verifica e manutenzione

Usa il nostro CAA Record Lookup per verificare i record CAA del tuo dominio e assicurarti che le CA autorizzate corrispondano a quelle che effettivamente usi. Prima di cambiare CA (ad esempio da Let's Encrypt a DigiCert), aggiorna i record CAA in anticipo, altrimenti la nuova CA non potrà emettere il certificato. Verifica anche SSL Check per confermare che il certificato attuale sia emesso da una CA autorizzata.

I record CAA si ereditano ai sottodomini: se esempio.com ha un CAA, tutti i sottodomini senza propri record CAA ereditano la policy del padre. Puoi sovrascrivere la policy per sottodomini specifici. Questa gerarchia è utile: puoi autorizzare Let's Encrypt per il dominio principale e DigiCert per un sottodominio specifico che richiede un certificato EV. Verifica la catena di ereditarietà con DNS Lookup controllando i record CAA a ogni livello.

Il tag iodef è spesso trascurato ma molto utile: ti avvisa quando una CA rifiuta l'emissione di un certificato per il tuo dominio a causa dei record CAA. Questo può indicare: un tentativo di emissione fraudolenta (un attaccante prova a ottenere un certificato per il tuo dominio), o un problema operativo (il tuo team prova a usare una CA non autorizzata). In entrambi i casi, la notifica ti permette di agire rapidamente.

Prova CAA Record Lookup gratis
Verifica i record CAA che autorizzano le CA a emettere certificati
Usa CAA Record Lookup >

Explore the Network

capops.io Free tools for DevOps & SysAdmin — monitoring, deploy, CI/CD, server management and more Visit → pixcode.io Free graphic tools — image converter, color palette generator, SVG optimizer and more Visit →