Rekordy CAA: Kto może wystawiać certyfikaty dla Twojej domeny?

Część 8 serii „Bezpieczeństwo stron w UE: 10 kroków do lepszej oceny"

Problem

Na świecie istnieją setki urzędów certyfikacji (CA). Każdy z nich może wystawić ważny certyfikat TLS dla dowolnej domeny — chyba że rekord CAA wyraźnie mówi: „tylko ten CA".

Bez CAA: Atakujący, który skompromituje dowolny CA (lub wykorzysta taki w jurysdykcji z minimalnym nadzorem), może wystawić ważny certyfikat dla twoja-domena.pl. Przeglądarki zaakceptują go bez ostrzeżenia.

Z CAA: CA sprawdza rekord CAA przed wystawieniem certyfikatu. Jeśli nie jest na liście, odmawia.

Wskaźnik wdrożenia CAA w UE: 3%. 97% domen ślepo ufa każdemu CA na świecie.

Jak skonfigurować CAA

Rekord CAA to wpis DNS (typ CAA):

twoja-domena.pl. IN CAA 0 issue "letsencrypt.org"
twoja-domena.pl. IN CAA 0 issuewild ";"
twoja-domena.pl. IN CAA 0 iodef "mailto:security@twoja-domena.pl"

• issue "letsencrypt.org" — tylko Let's Encrypt może wystawiać standardowe certyfikaty
• issuewild ";" — nikt nie może wystawiać certyfikatów wildcard
• iodef "mailto:..." — powiadomienie o naruszeniach polityki

Zezwalanie na wiele CA

twoja-domena.pl. IN CAA 0 issue "letsencrypt.org"
twoja-domena.pl. IN CAA 0 issue "digicert.com"

Nazwy CA u dostawców

Typowe błędy

1. Ustawienie CAA bez wiedzy, który CA wystawił obecny certyfikat. Sprawdź najpierw: openssl s_client -connect twoja-domena.pl:443 | openssl x509 -noout -issuer. Dodaj tego CA do rekordu.

2. Zapomnienie o wildcard. issuewild to osobna dyrektywa od issue. Bez jawnego issuewild dowolny CA może wystawić certyfikat wildcard — nawet jeśli issue jest ograniczone.

3. Ignorowanie subdomen. CAA jest dziedziczone hierarchicznie. Rekord na twoja-domena.pl obejmuje również www.twoja-domena.pl — chyba że subdomena ma własny rekord CAA.

Sprawdź swoją domenę

https://siteguardian.io/scan

W następnym tygodniu w części 9: Zgodność cookie — ciasteczka przed zgodą, transfery do krajów trzecich i co mówią CNIL, AEPD i TSUE.