CAA-запись: обязательная или нет?

CAA (сокращение от Certification Authority Authorization) – это специальная DNS-запись, которая была принята в качестве стандарта еще в 2013 году, но с тех пор являлась необязательной. С помощью данной записи владельцы доменов могли указывать удостоверяющие центры, имеющие право выпускать SSL/TLS-сертификаты для заданных доменов.

Запись CAA позволяет избежать несанкционированной выдачи сертификатов, что делается либо случайно, либо с преднамеренными целями – для фишинга, различных атак и т.д.

Цель введения записи CAA – ограничить круг удостоверяющих центров, которые могут выпускать сертификаты для домена.

Структура CAA является следующей:

FQDN CAA флаги свойство значение

Пример: yandex.ru 86400 IN CAA 0 issue "comodo.com"

Эта запись означает, что для главного доменного имени Yandex сертификаты может выпускать только удостоверяющий центр Comodo.

Чтобы разрешить выдачу только wildcard сертификатов для домена, применяется следующая CAA-запись (со свойством issuewild):

example.org. CAA 0 issuewild certificate_authority.com

Предложение Ballot 187 от регулятора CA/B Forum закрепляет обязательную проверку CAA для всех УЦ

Не так давно SSL-регулятором CA/B Forum был принят Ballot 187, который делает обязательным проверку CAA для всех удостоверяющих центров. За предложение проголосовало 17 удостоверяющих центров (94%) и 3 производителя браузеров (100%). Предложение вступит в силу 8 сентября. Если удостоверяющий центр проигнорирует данные правила, на него будут наложены санкции.

Помимо тега issue, в записи CAA применяется тег iodef – он также станет обязательным для удостоверяющих центров. Этот тег позволяет указать email или URL для связи с владельцем домена – это позволит отправлять отчеты обо всех запросах на сертификаты для данного домена, которые будут конфликтовать с политикой CAA. Владелец домена узнает о том, что кто-то попытался получить сертификат на его домен без должной авторизации и примет соответствующие защитные меры.

Пример записи CAA с определенным iodef:

example.org. CAA 0 iodef mailto:site@example.org

example.org. CAA 0 iodef https://site.example.org/

Является ли внесение CAA обязательным для клиента?

Добавление CAA является необязательным для клиента. Требование CA/B Forum распространяется только на удостоверяющие центры, которые обязаны осуществлять проверку CAA.

Чтобы не столкнуться с проблемами, связанными с выпуском сертификатов, выполните следующее:

1. Убедитесь в том, что DNS-сервер дает корректный, подписанный NSEC / NSEC3 ответ о том, что CAA-записи отсутствуют.
   
2. Добавьте CAA-запись, которая одобряет выпуск сертификата выбранного вами удостоверяющего центра
   
3. Отключите DNSSEC для домена (доменов).
   

Существующие проблемы с введением CAA

Обязательная проверка CAA пока оставляет открытыми следующие вопросы. Во-первых, нет четкой политики по поводу того, как именно проверка CAA будет работать с записями CNAME, хранящимися в CAA. Если в сертификате задано сразу два удостоверяющих центра, становится неясным, кто именно осуществлять контроль их выпуска.

Во-вторых, отсутствует программное обеспечение, которое поддерживало бы CAA на уровне DNS и УЦ. Это станет сильным ударом для небольших удостоверяющих центров, поскольку они могут не успеть обзавестись должным инструментарием к сентябрю.

Заключение

Несмотря на то что запись CAA относительно нова для DNS, современная инфраструктура позволяет легко ее реализовать. Отсутствие поддержки CAA у сторонних DNS-провайдеров может стать проблемой для определенных организаций. Однако времени до сентября пока еще много, а потому удостоверяющие центры и все другие вовлеченные стороны успеют адаптироваться к новым требованиям.