CAA záznam
CAA záznam je typ DNS záznamu, který říká, které certifikační autority (CA) mají oprávnění vydávat SSL/TLS certifikáty pro danou doménu. Tento záznam je důležitým bezpečnostním nástrojem, protože zabraňuje neoprávněnému nebo omylem vydanému certifikátu třetí stranou.
Díky CAA záznamům máte jako vlastník domény plnou kontrolu nad tím, kdo smí vystavit certifikát pro Váš web – což je důležité pro ochranu proti podvrženým certifikátům nebo útokům typu "man-in-the-middle".
Jak to funguje:
Předtím než certifikační autorita (například Let's Encrypt, DigiCert nebo Sectigo) vydá SSL certifikát, provede kontrolu DNS záznamů dané domény. Pokud existuje CAA záznam a ona v něm není uvedená jako oprávněná, certifikát nevydá.
Můžete tak například povolit pouze jednu konkrétní autoritu (např. Let's Encrypt) a všechny ostatní zablokovat.
Příklad CAA záznamu:
mojedomena.cz. IN CAA 0 issue "letsencrypt.org"Tento záznam říká, že certifikáty pro doménu mojedomena.cz smí vydávat pouze certifikační autorita letsencrypt.org.
Co jednotlivé části znamenají:
- 0 – značí tzv. flag (obvykle ponecháno jako 0)
- issue – určuje, že jde o povolení vydávat běžné certifikáty (existuje i
issuewildpro wildcard certifikáty) - letsencrypt.org – název certifikační autority
K čemu se používá:
- Pro omezení vydávání certifikátů pouze na důvěryhodné CA.
- K ochraně proti neoprávněnému vydání SSL certifikátu.
- K zajištění souladu s bezpečnostními standardy a audity.
- V některých případech je vyžadován při bezpečnostních kontrolách větších firem.