Что такое DNS Certification Authority Authorization? 

Что это за записи?

Записи в DNS с типом CAA - это механизм подтверждения владения доменом для выпуска TLS\SSL сертификата. Такие записи были введены (RFC https://tools.ietf.org/html/rfc6844) в январе 2013 года, однако до сентября 2017 были не обязательными к использованию. Вместо них использовались TXT записи, или изменения сайта для подтверждения владения.

В марте за их обязательное использование проголосовало 17 крупнейших Удостоверяющих Центров из 19 (94% за) и начиная с сентября за игнорирование таких записей при выпуске сертификата УЦ может получить набор санкций, вплоть до отзыва доверия. А вы не сможете выпустить или продлить сертификат, если в вашей ДНС зоне нет такой записи. (https://cabforum.org/2017/03/08/ballot-187-make-caa-checking-mandatory/) 

Записи не влияют на ранее выданные сертификаты, или на работку механизмов установки соединения, не проверяются браузером (в обязательной проверке браузером особого смысла нет). Они лишь указывают конкретному Удостоверяющему центру, что он имеет право на выпуск сертификата для определённого домена и запрещают другим УЦ выпускать такие сертификаты. 

CAA призваны противодействовать атакам MiTM, фишинга, внедрения кода и похожим, основанным на подмене или нелегитимном выпуске сертификата для вашего домена. По своей сути они похожи на механику HPKP (HTTP Public Key Pinning — прикрепление публичных ключей HTTP), но препятствуют именно выпуску сертификатов. 

Примеры

Сами записи предельно простые. Воспользуйтесь генератором или напишите их руками, это не сложно. Примеры, на всякий случай: 

  telegram.com. CAA 0 issue "digicert.com"
разрешает выпускать сертификаты Digicert для вашего домена. 

Запись:
  nocerts.example.com.   CAA 0 issue ";"
говорит, что для данного домена нельзя выпускать сертификаты ни одному CA.

 А вот так можно разрешить УЦ Comodo выпуск wildcard сертификата для домена telegram.com и всех поддоменов (*.telegram.com): 
  telegram.com. CAA 0 issuewild "comodoca.com" 

Вот это важно.

Можно обязать все УЦ уведомлять вас о подозрительной активности с вашими сертификатами. 

Почтой: 
  telegram.com. CAA 0 iodef "mailto:granddad@village.na"
Или посылать RID (Real-time Inter-network Defense) сообщение на указанный URL: 
  telegram.com. CAA 0 iodef "https://t.me/cooladmin"

Если кто-то попытается выпустить сертификат в УЦ не указанном в записях CAA вы получите письмо (или RID) с отчётом. Это именно обязанность УЦ, а не право или возможность. Т.е. запись является обязательной к исполнению. Must have all. 

Где и как?

У вас осталось действительно мало времени на то, чтобы внести в ваши доменные зоны записи CAA. Или сменить, при необходимости, держателя зоны, если ваш текущий хостер не поддерживает такие записи. 

Поддержка CAA появилась: 

• Google Cloud DNS
• DNSimple 
• DNS Made Easy 
• Constellix DNS 
• Cloudflare
• Dyn Managed DNS 
• ClouDNS 
• Afraid.org 
• Neustar UltraDNS 
• Gandi 
• Domeneshop (Domainnameshop) 

  Список может быть не полным\не точный. На NIC.RU и REG.RU информацию о поддержке этих записей найти не удалось.   

Так же CAA поддерживается: 

• BIND (новее 9.10.1B) 
• NSD (до версии 4.0.1 используйте синтаксис RFC 3597)
• PowerDNS (новее 4.0.0) 
• Knot DNS (новее 2.2.0) 
• Simple DNS Plus (новее 6.0) 
• Windows Server 2016 (используйте синтаксис RFC 3597) 
• tinydns (используйте т.н. generic синтаксис) 
• ldns (новее 1.6.1) 
• OpenDNSSEC (совместно с ldns новее 1.6.17) 

  Все версии указаны включительно. По информации с сайта производителя для популярной в нашем сегменте ISPmanager уже выпущен патч, он в тесте.  

Stay connected and just ADD CAA! 

RFC на записи CAA: https://tools.ietf.org/html/rfc6844 

RFC на RID формат сообщений: https://tools.ietf.org/html/rfc6546 

#осталсямесяц #сентябрь #caa #добавить #днс #одназапись #незабить 

Все посты и переводы можно найти тут http://telegra.ph/Soderzhanie-05-04