С 8 сентября (то есть с сегодняшнего дня) для центров сертификации становится обязательной проверка САА-записей в DNS перед выдачей сертификата. Механизм CAA описан в RFC 6844, если вкратце - это набор инструкций, кто имеет право выпускать сертификат для вашего домена: перед выпуском сертификата УЦ обязан проверить CAA-запись для домена, и отказать в выпуске сертификата в том случае, если запись не авторизует действие (если оператор DNS не поддерживает CAA-записи или администратор зоны не прописал соответствующую запись - УЦ может продолжить выпуск сертификата).

По принципу работы механизм напоминает SPF, только SPF защищает в основном принимающую сторону, а CAA-записи будут полезны как удостоверяющему центру в качестве дополнительного критерия подтверждения владения доменом, так и владельцу сайта, который сможет запретить выдавать сертификаты на свой домен неавторизованным УЦ (например, Letsencrypt, или оградить себя от возможного повторения истории с Symantec).

CAA-записи не предназначены для посетителей сайта, которым сервер показывает полученный сертификат. Для проверки правильности сертификата конечными узлами есть отдельный механизм, DNS-based Authentication of Named Entities (DANE).

Поделиться на VK