Rekord CAA (Certificate Authority Authorization) jest specjalnym rekordem DNS, wprowadzonym w standardzie opisanym w RFC 6844 (aktualizowanym m.in. przez RFC 8659), który umożliwia właścicielowi domeny restrykcyjne określenie, które instytucje certyfikacji (Certificate Authorities, CA) mają prawo do wystawiania certyfikatów SSL/TLS dla tej domeny. Mechanizm ten stanowi dodatkową warstwę zabezpieczeń, minimalizując ryzyko nieautoryzowanej emisji certyfikatów oraz ataków typu „mis-issuance”.
Struktura rekordu CAA
Rekord CAA składa się z trzech głównych elementów:
-
Flaga (flags):
Wartość całkowita (najczęściej 0 lub 128). Flaga ustawiona na 128 oznacza, że rekord jest krytyczny – w sytuacji, gdy CA nie rozpoznaje lub nie wspiera tego mechanizmu, operacja wydania certyfikatu musi zostać przerwana. -
Tag:
Określa typ autoryzacji. Najczęściej spotykane tagi to:issue– wskazuje, która instytucja certyfikacji jest uprawniona do wydania certyfikatu dla domeny.issuewild– dotyczy wydawania certyfikatów wildcard (np. *.przyklad.pl).iodef– umożliwia określenie adresu (np. URL lub adres e-mail), pod który CA powinno wysyłać informacje o potencjalnych naruszeniach polityki wydawania certyfikatów (zgodnie z formatem IODEF).
-
Wartość:
Zawiera nazwę autoryzowanej instytucji certyfikacji (w przypadku tagówissueiissuewild) lub dane kontaktowe dla raportowania incydentów (w przypadku taguiodef).
Mechanizm działania
Podczas procedury wydawania certyfikatu każda instytucja CA jest zobligowana do weryfikacji rekordów CAA publikowanych w strefie DNS danej domeny. Jeśli rekord CAA istnieje i nie zawiera nazwy danej CA, proces wydawania certyfikatu powinien zostać anulowany. Pozwala to na:
-
Precyzyjną kontrolę emisji certyfikatów:
Właściciel domeny może określić, która CA jest uprawniona do wystawienia certyfikatu, co znacząco ogranicza ryzyko wydania certyfikatu przez podmiot nieuprawniony. -
Wspieranie polityki bezpieczeństwa:
Dzięki mechanizmowi CAA można skutecznie przeciwdziałać atakom, w których nieautoryzowane CA wydają certyfikaty, co mogłoby prowadzić do poważnych naruszeń bezpieczeństwa. -
Hierarchiczne dziedziczenie ustawień:
Jeśli dla konkretnej subdomeny nie zdefiniowano osobnego rekordu CAA, weryfikacji podlega rekord z domeny nadrzędnej, co umożliwia centralne zarządzanie polityką certyfikacji na poziomie całego zasobu DNS.
Przykład konfiguracji
Przykładowy rekord CAA może wyglądać następująco:
W powyższym przykładzie rekord wskazuje, że jedynie instytucja certyfikacji Certum.pl jest autoryzowana do wydania certyfikatu dla domeny example.com, a flaga ustawiona na 0 oznacza, że rekord nie jest krytyczny (czyli brak obsługi mechanizmu przez CA nie powinien automatycznie skutkować odmową wydania certyfikatu). Rekord CAA jest kluczowym elementem infrastruktury bezpieczeństwa internetu, pozwalając właścicielom domen na kontrolowanie, które instytucje mogą wystawiać certyfikaty SSL/TLS. Dzięki zastosowaniu tego mechanizmu, możliwe jest znaczne ograniczenie ryzyka nieautoryzowanej emisji certyfikatów, co przekłada się na zwiększenie poziomu zabezpieczeń całej sieci.
