Parte 8 da série "Segurança Web na UE: 10 Passos Para uma Melhor Classificação"
O Problema
Existem centenas de autoridades de certificação (CA) em todo o mundo. Cada uma delas pode emitir um certificado TLS válido para qualquer domínio — a menos que um registo CAA diga explicitamente: "apenas esta CA".
Sem CAA: Um atacante que comprometa qualquer CA (ou utilize uma numa jurisdição com supervisão mínima) pode emitir um certificado válido para o-seu-dominio.pt. Os navegadores aceitam-no sem aviso.
Com CAA: A CA verifica o registo CAA antes da emissão. Se não constar da lista, recusa.
Adoção de CAA na UE: 3%. 97% dos domínios confiam cegamente em todas as CA do mundo.
Como Configurar o CAA
Um registo CAA é uma entrada DNS (tipo CAA):
o-seu-dominio.pt. IN CAA 0 issue "letsencrypt.org"
o-seu-dominio.pt. IN CAA 0 issuewild ";"
o-seu-dominio.pt. IN CAA 0 iodef "mailto:security@o-seu-dominio.pt"
issue "letsencrypt.org"— apenas o Let's Encrypt pode emitir certificados padrãoissuewild ";"— ninguém pode emitir certificados wildcardiodef "mailto:..."— notificação em caso de violações da política
Permitir Múltiplas CA
o-seu-dominio.pt. IN CAA 0 issue "letsencrypt.org"
o-seu-dominio.pt. IN CAA 0 issue "digicert.com"
Nomes de CA por Fornecedor
| CA | Valor CAA |
|---|---|
| Let's Encrypt | letsencrypt.org |
| DigiCert | digicert.com |
| Sectigo (Comodo) | sectigo.com |
| GlobalSign | globalsign.com |
| Amazon/ACM | amazon.com |
| Google Trust | pki.goog |
Erros Comuns
1. Definir CAA sem saber qual a CA que emitiu o certificado atual.
Verifique primeiro: openssl s_client -connect o-seu-dominio.pt:443 | openssl x509 -noout -issuer. Adicione essa CA ao registo.
2. Esquecer os wildcards. issuewild é separado de issue. Sem um issuewild explícito, qualquer CA pode emitir um certificado wildcard — mesmo que issue esteja restrito.
3. Ignorar subdomínios. O CAA é herdado hierarquicamente. Um registo em o-seu-dominio.pt também se aplica a www.o-seu-dominio.pt — a menos que o subdomínio possua o seu próprio registo CAA.
Verifique o Seu Domínio
Na próxima semana na Parte 9: Conformidade de Cookies — cookies pré-consentimento, transferências para países terceiros e o que a CNIL, a AEPD e o TJUE têm a dizer sobre o assunto.