Ce este CAA (Certification Authority Authorization)?

Inregistrare DNS care specifica cine poate emite certificate SSL

Definiție CAA (Certification Authority Authorization)

O inregistrare CAA in DNS-ul domeniului specifica exact ce autoritati de certificare (Let's Encrypt, DigiCert etc.) au voie sa emita certificate SSL pentru acel domeniu. Previne emiterea de certificate neautorizate si ofera un nivel suplimentar de protectie.

De ce contează CAA (Certification Authority Authorization)

Inregistrarea CAA (Certificate Authority Authorization) impiedica autoritatile de certificare neautorizate sa emita certificate SSL pentru domeniul tau — fara ea, oricare dintre cele peste 100 de CA-uri publice poate genera un certificat valid. Un certificat emis fraudulos permite atacuri man-in-the-middle unde traficul criptat este interceptat transparent.

Cum verifici CAA (Certification Authority Authorization)

Analiza DNS a SoftAudit extrage inregistrarile CAA si verifica daca sunt prezente cel putin pentru domeniul principal. Valideaza ca tag-urile issue si issuewild sunt configurate si ca adresa din iodef pointeaza catre un email sau URL monitorizat pentru notificari de incalcare.

Greșeli frecvente

Omiterea tag-ului issuewild lasa posibilitatea ca orice CA sa emita certificate wildcard, chiar daca tag-ul issue este restrictiv. O alta problema comuna este setarea CAA doar pe domeniul principal, uitand subdomeniile care mostenesc permisiunile doar daca nu au propriile inregistrari CAA.

Bune practici

Seteaza atat issue cat si issuewild pentru CA-ul pe care il folosesti efectiv, de exemplu: 0 issue "letsencrypt.org" si 0 issuewild "letsencrypt.org". Adauga o inregistrare iodef cu emailul echipei de securitate pentru a primi alerte cand un CA refuza o solicitare neautorizata. Verifica periodic ca inregistrarile reflecta CA-ul curent — daca migrezi de la Let's Encrypt la DigiCert, actualizeaza CAA inainte.