SSLmentor

Certificados TLS/SSL de qualidade para sites e projetos de internet.

CAA RECORD

CAA RECORD

Registro CAA

O Registro de Recurso DNS de Autorização da Autoridade de Certificação (CAA) permite que um titular de nome de domínio DNS especifique as Autoridades de Certificação (CAs) autorizadas a emitir certificados para aquele domínio. A publicação dos Registros de Recurso CAA permite que uma Autoridade de Certificação pública implemente controles adicionais para reduzir o risco de emissão indevida de certificados.
Os registros também permitem definir regras de notificação quando alguém solicita um certificado de uma CA não autorizada. Colocar o registro CAA em um domínio DNS é outra forma de aumentar a segurança na Internet.

O que é um registro CAA

Um registro CAA (Certification Authority Authorization) é um registro na zona DNS de um domínio que indica qual autoridade de certificação está autorizada a emitir certificados SSL para o domínio. Se nenhum registro CAA estiver listado no DNS, cada CA pode emitir um certificado para esse domínio. Se um registro CAA estiver presente, apenas as CAs listadas nos registros podem emitir certificados para o domínio. Os registros CAA podem definir políticas de âmbito de domínio ou nomes específicos. Além disso, os registros CAA são herdados por subdomínios, portanto, um registro CAA inserido em exemplo.net também será válido em qualquer subdomínio, como subdominios.exemplo.net.

  • Os registros CAA são especificados na RFC 6844.
  • Em março de 2017, a obrigação de verificar os registros de domínio CAA foi votada no fórum CAB e, a partir de 8 de setembro de 2017, todas as CAs públicas são obrigadas a verificar os registros de domínio CAA antes de emitir um certificado e rejeitar a solicitação de certificado se o registro CAA existir e a CA não estiver listada lá.

Valores do registro CAA

O formato de apresentação canônico do registro CAA é: CAA <flags> <tag> <value>

  • <flags> (0 – 255) O padrão é 0 (obrigatório). Se definido como 1, bloqueia a validação se a tag for desconhecida pela CA. Recomendamos definir como "0".
    Cada CA pode especificar ainda mais seus próprios parâmetros em termos de valores.
  • Os parâmetros <tag>
    • issue permite a emissão de todos os tipos de certificados da CA especificada
    • issuewild permite permitir a emissão de certificados WildCard separadamente
      Ao especificar 0 issuewild ";", indicamos que nenhum certificado WildCard deve ser emitido no domínio
      A propriedade issuewild tem a mesma sintaxe e semântica que a propriedade issue, exceto que as propriedades issuewild apenas concedem autorização para emitir certificados que especificam um domínio com caractere curinga e as propriedades issuewild têm precedência sobre as propriedades issue quando especificadas.
    • iodef define o endereço de e-mail ou endereço de serviço da Web para relatar violações de política listadas em registros CAA por uma autoridade de certificação
  • <value>

Exemplo de formato de registro CAA no DNS:

  • Domínio Tipo Valor | nota
  • exemplo.com. IN CAA 0 issue "sectigo.com" | o certificado pode ser emitido pela CA Sectigo
  • exemplo.com. IN CAA 0 issue "letsencrypt.org" | o certificado pode ser emitido pelo Let’s Encrypt
  • exemplo.com. IN CAA 0 issuewild "sectigo.com" | APENAS a CA Sectigo pode emitir um certificado Wildcard
  • exemplo.com. IN CAA 0 iodef "mailto:info@sslmentor.cz" | contato para notificação de violações

Como definir o registro CAA

Antes de inserir um registro CAA na zona DNS, é aconselhável gerá-lo usando um dos serviços online. Uma dessas ferramentas é SSLMate (Assistente de Registro CAA), que oferece a escolha de muitas autoridades de certificação. Tudo o que você precisa fazer é escolher sua autoridade preferida, se pode emitir qualquer certificado ou até mesmo um WildCard, e o gerador oferecerá registros para inserção no DNS.

SSLMate (Assistente de Registro CAA)

Inserindo o registro CAA no DNS

Para inserir um registro CAA, o provedor de registros DNS deve suportá-lo. Hoje em dia, todo serviço de hospedagem ou registrador deve oferecer a inserção de registros CAA no DNS. As imagens mostram a inserção em alguns serviços de hospedagem. Sempre é necessário aguardar a propagação após inserir registros CAA. Se a hospedagem solicitar, não se esqueça de publicar os novos registros DNS na Internet. Por exemplo, você deve confirmar "Aplicar alterações".

Inserindo o registro CAA no DNS

Verificando o registro CAA

Conforme os registros DNS se propagam, podemos usar algumas das ferramentas online para verificar se inserimos com sucesso os registros CAA. Por exemplo, dnsspy.io/labs/caa-validator ou listando um registro CAA no DNS com digwebinterface.com

Voltar para Ajuda
Encontrou um erro ou não entendeu algo? Escreva para nós!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum