Record CAA
Il Record delle Autorizzazioni dell'Autorità di Certificazione (CAA) è un record di risorse DNS che consente al titolare di un nome di dominio DNS di specificare le Autorità di Certificazione (CA) autorizzate a rilasciare certificati per quel dominio. La pubblicazione dei Record delle Risorse CAA consente a un'Authority di Certificazione pubblica di implementare controlli aggiuntivi per ridurre il rischio di rilascio improprio di certificati.
I record consentono anche di impostare regole di notifica quando qualcuno richiede un certificato da una CA non autorizzata. Inserire un record CAA in un dominio DNS è un altro modo per migliorare la sicurezza su Internet.
Cos'è il record CAA
Un record CAA (Certification Authority Authorization) è un record nella zona DNS di un dominio che indica quale autorità di certificazione è autorizzata a rilasciare certificati SSL per il dominio. Se nel DNS non è presente nessun record CAA, ogni CA può rilasciare un certificato per quel dominio. Se è presente un record CAA, solo le CA elencate nei record possono rilasciare certificati per il dominio. I record CAA possono impostare politiche a livello di dominio o nomi specifici. I record CAA sono anche ereditati dai sottodomini, quindi un record CAA inserito in example.net sarà valido anche su eventuali sottodomini, come subdomini.example.net.
- I record CAA sono specificati in RFC 6844.
- Nel marzo 2017, l'obbligo di controllare i record di dominio CAA è stato votato nel forum CAB e, a partire dall'8 settembre 2017, tutte le CA pubbliche sono tenute a controllare i record di dominio CAA prima di rilasciare un certificato e respingere la richiesta di certificato se il record CAA esiste e la CA non è elencata lì.
Valori del record CAA
Il formato di presentazione canonico del record CAA è: CAA <flags> <tag> <value>
- <flags> (0 – 255) Il valore predefinito è 0 (richiesto). Se si imposta 1, questo blocca la convalida se il tag è sconosciuto dalla CA. Consigliamo di impostare a "0".
Ogni CA può inoltre specificare i propri parametri in termini di valori. - I parametri <tag>
- issue permette il rilascio di tutti i tipi di certificati dalla CA specificata
- issuewild consente di permettere il rilascio di certificati WildCard separatamente
Specificando 0 issuewild ";" indichiamo che non devono essere emessi certificati WildCard sul dominio
La proprietà issuewild ha la stessa sintassi e semantica della proprietà issue tranne che le proprietà issuewild autorizzano solo il rilascio di certificati che specificano un dominio WildCard e le proprietà issuewild hanno la precedenza sulle proprietà issue quando specificate. - iodef imposta l'indirizzo email o l'indirizzo del servizio Web per segnalare violazioni di policy elencate nei record CAA da parte di un'autorità di certificazione
- <value>
Esempio di formato di record CAA nel DNS:
- Dominio Tipo Valore | nota
- sslmentor.com. IN CAA 0 issue "sectigo.com" | il certificato può essere emesso da CA Sectigo
- sslmentor.com. IN CAA 0 issue "letsencrypt.org" | il certificato può essere emesso da Let’s Encrypt
- sslmentor.com. IN CAA 0 issuewild "sectigo.com" | SOLO CA Sectigo può emettere un certificato Wildcard
- sslmentor.com. IN CAA 0 iodef "mailto:info@sslmentor.cz" | contatto per la notifica delle violazioni
Come impostare il record CAA
Prima di inserire un record CAA nella zona DNS, è consigliabile generarne uno utilizzando uno dei servizi online. Uno strumento del genere è SSLMate (CAA Record Helper), che offre la scelta tra molte autorità di certificazione. Tutto ciò che devi fare è scegliere la tua autorità preferita, se puoi emettere qualsiasi certificato o addirittura un WildCard, e il generatore offrirà i record da inserire nel DNS.
Inserimento del record CAA nel DNS
Per inserire un record CAA, il provider di record DNS deve supportarlo. Oggi ogni hosting o registrar dovrebbe offrire la possibilità di inserire record CAA nel DNS. Le immagini mostrano l'inserimento presso alcuni servizi di hosting. È sempre necessario attendere che si espandano dopo aver inserito i record CAA. Se l'hosting lo richiede, non dimenticare di far pubblicare i nuovi record DNS su Internet. Ad esempio, devi confermare "Applica modifiche".
Verifica del record CAA
Mentre i record DNS si espandono, possiamo utilizzare alcuni degli strumenti online per verificare se abbiamo caricato correttamente i record CAA. Ad esempio, dnsspy.io/labs/caa-validator o elencando un record CAA nel DNS con digwebinterface.com
Cosa fare dopo?
Torna alla Guida
Hai trovato un errore o non capisci qualcosa? Scrivici!