CAA Record Lookup: Bepaal Wie Certificaten Mag Uitgeven voor Uw Domein

CAA: toegangscontrole voor certificaten

CAA-records (Certificate Authority Authorization, RFC 8659) stellen de domeineigenaar in staat om in DNS te specificeren welke Certificate Authorities (CAs) geautoriseerd zijn om SSL-certificaten voor dat domein uit te geven. Sinds september 2017 zijn alle publieke CAs verplicht om CAA-records te controleren voordat ze een certificaat uitgeven. Als het CAA-record de CA niet autoriseert, wordt de uitgifte geblokkeerd. Dit voorkomt de uitgifte van frauduleuze certificaten door gecompromitteerde CAs of validatiefouten.

Zonder CAA-records kan elke CA ter wereld een certificaat voor uw domein uitgeven. Met de ongeveer 150 bestaande publieke CAs en honderden tussenliggende CAs is het aanvalsoppervlak enorm: het is voldoende om slechts een CA (of haar validatieproces) te compromitteren om een frauduleus certificaat te verkrijgen. CAA-records verkleinen dit oppervlak drastisch: als u alleen Let's Encrypt autoriseert, kunnen de andere 149 CAs geen certificaten voor u uitgeven, zelfs als ze gecompromitteerd zijn.

Configuratie van CAA-records

# Autorizza solo Let's Encrypt
esempio.com. IN CAA 0 issue "letsencrypt.org"

# Autorizza anche DigiCert per wildcard
esempio.com. IN CAA 0 issue "letsencrypt.org"
esempio.com. IN CAA 0 issuewild "digicert.com"

# Blocca tutte le CA (nessun certificato autorizzato)
esempio.com. IN CAA 0 issue ";"

# Notifica tentativi non autorizzati
esempio.com. IN CAA 0 iodef "mailto:security@esempio.com"

Drie tags zijn beschikbaar: issue autoriseert een CA om normale certificaten uit te geven, issuewild autoriseert de uitgifte van wildcard-certificaten (*.domein.com), en iodef specificeert waar meldingen van ongeautoriseerde pogingen naartoe worden gestuurd. Als u alleen issue specificeert zonder issuewild, erven wildcards het issue-beleid. Als u wilt dat alleen een specifieke CA wildcards mag uitgeven, gebruik dan issuewild expliciet.

Verificatie en onderhoud

Gebruik onze CAA Record Lookup om de CAA-records van uw domein te verifiëren en te verzekeren dat de geautoriseerde CAs overeenkomen met degene die u daadwerkelijk gebruikt. Voordat u van CA wisselt (bijvoorbeeld van Let's Encrypt naar DigiCert), update de CAA-records van tevoren, anders kan de nieuwe CA het certificaat niet uitgeven. Controleer ook SSL Check om te bevestigen dat het huidige certificaat is uitgegeven door een geautoriseerde CA.

CAA-records worden geerfd door subdomeinen: als example.com een CAA-record heeft, erven alle subdomeinen zonder eigen CAA-records het beleid van de bovenliggende. U kunt het beleid voor specifieke subdomeinen overschrijven. Deze hierarchie is nuttig: u kunt Let's Encrypt autoriseren voor het hoofddomein en DigiCert voor een specifiek subdomein dat een EV-certificaat vereist. Verifieer de overervingsketen met DNS Lookup door CAA-records op elk niveau te controleren.

De iodef-tag wordt vaak over het hoofd gezien maar is zeer nuttig: het waarschuwt u wanneer een CA de uitgifte van een certificaat voor uw domein weigert vanwege CAA-records. Dit kan wijzen op: een frauduleuze uitgiftepoging (een aanvaller probeert een certificaat voor uw domein te verkrijgen), of een operationeel probleem (uw team probeert een niet-geautoriseerde CA te gebruiken). In beide gevallen stelt de melding u in staat snel te handelen.