Security
LIVE
CAA Record Lookup
Verifica i record CAA che autorizzano le CA a emettere certificati
usage:
caa-lookup --domain Cos'è CAA Record Lookup?
Il CAA Record Lookup verifica i record CAA (Certificate Authority Authorization) di un dominio, che specificano quali Certificate Authority sono autorizzate a emettere certificati SSL per quel dominio. I record CAA prevengono l'emissione non autorizzata di certificati, aggiungendo un livello di sicurezza alla PKI.
Domande Frequenti
Cos'è un record CAA? +
Un record CAA (RFC 8659) è un record DNS che specifica quali Certificate Authority (CA) sono autorizzate a emettere certificati per il dominio. Le CA devono verificare i record CAA prima dell'emissione.
I record CAA sono obbligatori? +
No, non sono obbligatori. Se un dominio non ha record CAA, qualsiasi CA può emettere certificati. Tuttavia, è fortemente consigliato configurarli per prevenire emissioni non autorizzate.
Come configuro un record CAA? +
Aggiungi un record CAA nel DNS con: flag 0, tag 'issue', valore la CA autorizzata (es. 'letsencrypt.org'). Per i wildcard usa il tag 'issuewild'. Per le notifiche usa 'iodef'.
Posso autorizzare più CA? +
Sì, aggiungi un record CAA separato per ogni CA autorizzata. Se usi Let's Encrypt per il sito e DigiCert per un servizio, aggiungi entrambi come record separati.
Cos'è il tag iodef nei CAA? +
Il tag iodef specifica un URL o email dove la CA invia notifiche di tentativi di emissione non autorizzati. Formato: iodef mailto:security@tuodominio.com.
I record CAA si ereditano ai sottodomini? +
Sì, i record CAA del dominio padre si applicano ai sottodomini che non hanno propri record CAA. Puoi sovrascrivere la policy per un sottodominio specifico aggiungendo record CAA dedicati.