Certifikačné autority a prehliadače združené v tzv. CA/B fóre prijali spoločný postup, ktorý ich zaväzuje rešpektovať a riadiť sa informáciami uvedenými v CAA zázname domény, pre ktorú majú vystaviť SSL certifikát. Dodržiavanie CAA záznamu bolo doteraz iba dobrovoľné a držali sa ho najväčšie certifikačné autority na trhu, zatiaľ čo menšie nie. Čo je jeho cieľom a ako funguje, sa dozviete v našom článku.
Čo je to CAA záznam?
CAA záznam v DNS zóne domény slúži na autorizáciu certifikačnej autority, ktorá môže pre túto doménu vydávať SSL/TLS certifikát. Ak je pri doméne uvedený CAA záznam, tak ostatné certifikačné autority ho musia rešpektovať a nemôžu certifikát vydať, ak nie sú v CAA uvedené.
Pôvod tohto typu DNS záznamu sa datuje už do roku 2013. CAA záznam v DNS má samostatnú technickú normu v podobe RFC6844 s názvom DNS Certification Authority Authorization (CAA) Resource Record. V DNS zóne domény je potrebné využiť priamo tento samostatný typ záznamu.
Predtým dobrovoľná kontrola je teraz povinná
Už je zrejmé, na čo má CAA záznam slúžiť. Zatiaľ nezískal na popularite najmä preto, že jeho použitie bolo prakticky zbytočné – certifikačné autority neboli povinné sa ním riadiť a používateľ nevedel, prečo vlastne záznam nastavuje, a ktoré autority ho rešpektujú. Toto sa však zmenilo a záznam bude mať konečne zmysel, pretože jeho rešpektovanie je povinné pre všetky certifikačné autority. Dokument, v ktorom sa členovia CA/B fóra ku kontrole zaväzujú, sa nazýva Ballot 187.
Ako CAA záznam nastaviť?
CAA záznam je pomerne jednoduchý údaj pridaný do DNS zóny domény. Bohužiaľ bol preň vytvorený vlastný typ záznamu, ktorý predpokladá zavedenie podpory v DNS manažéroch. Ak by bola informácia uchovaná v TXT zázname, bola by možnosť využitia novej ochrany oveľa lepšia.
Ak máte v DNS zóne domény možnosť nastaviť tento typ záznamu, potom sa do toho môžete pustiť. Pre certifikačné autority vlastnené spoločnosťou Symantec môžete záznam nastaviť samostatne podľa jednotlivých CA, ktoré plánujete využívať. Môžete však urobiť jeden záznam pre všetky štyri CA dohromady; taký záznam teda umožňuje vystavenie certifikátu všetkým štyrom CA, ktoré Symantec vlastní.
CAA záznamy môžete ignorovať a nič sa nestane
Ak nechcete CAA záznam pri svojej doméne využívať, tak môžete CAA záznamy úplne ignorovať a vystavovanie certifikátov pre vašu doménu to nijako neovplyvní. Prídete iba o možnosť korigovať zoznam CA, ktoré pre doménu môžu vystaviť certifikát. CAA záznam pre vystavenie certifikátu od certifikačnej autority nepotrebujete a nie je povinný.
Ak by ste mali problém s vystavením certifikátov v kolízii s CAA záznamom, obráťte sa na podporu SSLmarket, kde vám radi poradia a pomôžu problém vyriešiť.
Ing. Peter Tomaščík – špecialista na bezpečnostné SSL certifikáty, www.sslmarket.sk