CAA (Certification Authority Authorization) — DNS-запись, которая указывает, какие удостоверяющие центры (CA) имеют право выпускать SSL-сертификаты для вашего домена. Если злоумышленник попытается получить SSL для вашего домена через неавторизованный CA — CAA-запись заблокирует выдачу.
Зачем нужна CAA-запись
- Защита от мошеннического получения SSL вашего домена
- Предотвращение атак типа «compromised CA»
- Обязательна для организаций с высокими требованиями безопасности
- Рекомендована NIST и требована некоторыми стандартами
Синтаксис CAA-записи
# Разрешить только Let's Encrypt
@ IN CAA 0 issue "letsencrypt.org"
# Разрешить Let's Encrypt и Sectigo
@ IN CAA 0 issue "letsencrypt.org"
@ IN CAA 0 issue "sectigo.com"
# Разрешить Wildcard только от определённого CA
@ IN CAA 0 issuewild "letsencrypt.org"
# Email для уведомлений об отказах
@ IN CAA 0 iodef "mailto:security@example.com"Популярные CA и их CAA-значения
| Центр сертификации | CAA-значение |
|---|---|
| Let's Encrypt | letsencrypt.org |
| DigiCert | digicert.com |
| Sectigo (Comodo) | sectigo.com |
| GlobalSign | globalsign.com |
| Entrust | entrust.net |
Проверка CAA-записи
dig example.com CAA
# Онлайн: caatest.co.uk💡 Если CAA нет: Отсутствие CAA-записи означает, что любой CA может выпустить сертификат для домена. Это не критично для базовых сайтов, но для финансовых и корпоративных проектов — добавьте CAA.
⚠️ Wildcard-сертификаты: Если используете Wildcard SSL, добавьте отдельную
issuewild запись для того же CA. Без неё CA откажет в выпуске Wildcard, даже если есть обычная issue запись.