CAA Record Lookup: Controle Quem Pode Emitir Certificados para Seu Dominio

CAA: o controle de acesso para os certificados

Os registros CAA (Certificate Authority Authorization, RFC 8659) permitem ao proprietario de um dominio especificar no DNS quais Certificate Authorities (CAs) estao autorizadas a emitir certificados SSL para esse dominio. Desde setembro de 2017, todas as CAs publicas sao obrigadas a verificar os registros CAA antes de emitir um certificado. Se o registro CAA nao autoriza a CA, a emissao e bloqueada. Isso previne a emissao de certificados fraudulentos de CAs comprometidas ou erros na validacao.

Sem registros CAA, qualquer CA do mundo pode emitir um certificado para seu dominio. Com as aproximadamente 150 CAs publicas existentes e centenas de CAs intermediarias, a superficie de ataque e enorme: basta comprometer uma unica CA (ou seu processo de validacao) para obter um certificado fraudulento. Os registros CAA reduzem drasticamente essa superficie: se autoriza apenas Let's Encrypt, as outras 149 CAs nao podem emitir certificados para voce, mesmo se comprometidas.

Configuracao dos registros CAA

# Autorizza solo Let's Encrypt
esempio.com. IN CAA 0 issue "letsencrypt.org"

# Autorizza anche DigiCert per wildcard
esempio.com. IN CAA 0 issue "letsencrypt.org"
esempio.com. IN CAA 0 issuewild "digicert.com"

# Blocca tutte le CA (nessun certificato autorizzato)
esempio.com. IN CAA 0 issue ";"

# Notifica tentativi non autorizzati
esempio.com. IN CAA 0 iodef "mailto:security@esempio.com"

Tres tags estao disponiveis: issue autoriza uma CA a emitir certificados normais, issuewild autoriza a emissao de certificados wildcard (*.dominio.com), e iodef especifica para onde enviar notificacoes de tentativas nao autorizadas. Se especifica apenas issue sem issuewild, os wildcards herdam a politica de issue. Se quer que apenas uma CA especifica possa emitir wildcard, use issuewild explicitamente.

Verificacao e manutencao

Use nosso CAA Record Lookup para verificar os registros CAA do seu dominio e garantir que as CAs autorizadas correspondam as que realmente usa. Antes de mudar de CA (por exemplo de Let's Encrypt para DigiCert), atualize os registros CAA com antecedencia, caso contrario a nova CA nao podera emitir o certificado. Verifique tambem SSL Check para confirmar que o certificado atual foi emitido por uma CA autorizada.

Os registros CAA sao herdados pelos subdominios: se exemplo.com tem um CAA, todos os subdominios sem registros CAA proprios herdam a politica do pai. Voce pode sobrescrever a politica para subdominios especificos. Essa hierarquia e util: pode autorizar Let's Encrypt para o dominio principal e DigiCert para um subdominio especifico que requer um certificado EV. Verifique a cadeia de heranca com DNS Lookup verificando os registros CAA em cada nivel.

O tag iodef e frequentemente negligenciado mas muito util: avisa quando uma CA recusa a emissao de um certificado para seu dominio devido aos registros CAA. Isso pode indicar: uma tentativa de emissao fraudulenta (um atacante tenta obter um certificado para seu dominio), ou um problema operacional (sua equipe tenta usar uma CA nao autorizada). Em ambos os casos, a notificacao permite agir rapidamente.