Parte 8 della serie "Sicurezza web UE: 10 passi verso un rating migliore"
Il problema
Esistono centinaia di autorità di certificazione (CA) nel mondo. Ognuna può emettere un certificato TLS valido per qualsiasi dominio — a meno che un record CAA non dica esplicitamente: "solo questa CA".
Senza CAA: un attaccante che compromette una CA qualsiasi (o ne usa una in una giurisdizione con controlli minimi) può emettere un certificato valido per vostro-dominio.com. I browser lo accettano senza avvisi.
Con CAA: la CA verifica il record CAA prima dell'emissione. Se non è elencata, rifiuta.
Adozione di CAA nell'UE: 3%. Il 97% dei domini si fida ciecamente di ogni CA al mondo.
Come configurare CAA
Un record CAA è un record DNS (tipo CAA):
vostro-dominio.com. IN CAA 0 issue "letsencrypt.org"
vostro-dominio.com. IN CAA 0 issuewild ";"
vostro-dominio.com. IN CAA 0 iodef "mailto:security@vostro-dominio.com"
issue "letsencrypt.org"— solo Let's Encrypt può emettere certificati standardissuewild ";"— nessuno può emettere certificati wildcardiodef "mailto:..."— notifica in caso di violazioni della policy
Autorizzare più CA
vostro-dominio.com. IN CAA 0 issue "letsencrypt.org"
vostro-dominio.com. IN CAA 0 issue "digicert.com"
Nomi CA specifici per provider
| CA | Valore CAA |
|---|---|
| Let's Encrypt | letsencrypt.org |
| DigiCert | digicert.com |
| Sectigo (Comodo) | sectigo.com |
| GlobalSign | globalsign.com |
| Amazon/ACM | amazon.com |
| Google Trust | pki.goog |
Errori comuni
1. Impostare CAA senza sapere quale CA ha emesso il certificato attuale.
Verificate prima: openssl s_client -connect vostro-dominio.com:443 | openssl x509 -noout -issuer. Aggiungete quella CA al vostro record.
2. Dimenticare i wildcard. issuewild è separato da issue. Senza un issuewild esplicito, qualsiasi CA può emettere un certificato wildcard — anche se issue è limitato.
3. Ignorare i sottodomini. CAA è ereditato gerarchicamente. Un record su vostro-dominio.com si applica anche a www.vostro-dominio.com — a meno che il sottodominio non abbia un proprio record CAA.
Controlla il tuo dominio
La prossima settimana nella Parte 9: Cookie Compliance — cookie pre-consenso, trasferimenti a terze parti e cosa dicono il Garante Privacy, la CNIL e la CGUE.