Noot van de redactie: Deze blog werd oorspronkelijk gepubliceerd in augustus 2017. Hij is onlangs bijgewerkt om de RFC 1912-richtlijn voor CNAME-records te weerspiegelen.
CAA is een veiligheidsmaatregel die domeineigenaars de mogelijkheid biedt om in hun Domain Name Servers (DNS) te bepalen welke CA's certificaten voor dat domein mogen verlenen. Als een CA een bestelling voor een certificaat voor een domein met een CAA-record ontvangt en die CA niet is opgegeven als geautoriseerde verlener, dan mag de CA geen certificaat verlenen voor dat domein of een subdomein ervan.
Voordelen van CAA
Een van de voordelen van CAA is dat het complementair is met Certificate Transparency (CT). CT biedt mechanismen waarmee domeineigenaars foutief uitgegeven of vaak verleende certificaten voor hun domeinen kunnen identificeren na de uitgifte, terwijl CAA ongeautoriseerde uitgifte kan helpen voorkomen. Samen zorgen ze voor een betere beveiliging dan elk apart kan bieden.
CAA kan ook organisaties helpen die gestandaardiseerd hebben, of die willen standaardiseren of een beperkt aantal CA's willen gebruiken. Vóór CAA konden organisaties dit soort beleid zeer moeilijk afdwingen, maar nu alle CA's moeten controleren op CAA-records, kan dit beleid daadwerkelijk worden afgedwongen door de CA's.
CAA implementeren
Hoewel controleren op CAA-records verplicht is voor CA's, is CAA gebruiken optioneel voor domeineigenaars. U kunt zelf beslissen of u dit wilt implementeren en als u besluit dat te doen, kunt u desgewenst meerdere CA's opgeven (zie waarschuwingen verder in deze blog).
Dit zijn de verwerkingsregels voor CA's:
- Geen CAA-record: CA mag verlenen.
- CAA-record bevat CA: CA mag verlenen.
- CAA-record, maar bevat CA niet: CA mag niet verlenen.
CAA ondersteunt de volgende kenmerken:
- Issue: Staat CA's toe certificaten te verlenen (inclusief wildcard-certificaten, tenzij beperkt door Issuewild)
- Issuewild: Staat CA's toe een wildcard-certificaat te verlenen, maar geen niet-wildcard-certificaten.
Dit is een voorbeeld van de CAA-code die u moet toevoegen aan uw DNS-zonebestand als u GlobalSign wilt toestaan om certificaten te verlenen voor voorbeeld.com:
CAA 0 issue “globalsign.com”
Houd er rekening mee dat CAA-controles starten met de volledige FQDN en tot het Base Domain gaan, dus bij het valideren van de FQDN van www.nl.voorbeeld.com, controleert de CA:
- www.nl.voorbeeld.com, daarna
- nl.voorbeeld.com, daarna
- voorbeeld.com.
Gedetailleerde instructies over hoe u CAA-records kunt toevoegen, inclusief stappen voor een gehoste DNS, vindt u in ons gerelateerde supportartikel.
Opmerking over CNAME's:
In overeenstemming met RFC 1912 mag een CNAME-record niet naast andere gegevens bestaan. Bij het zoeken naar CAA-records volgen we de bovenstaande regels van de FQDN en lopen we de keten omhoog, maar als we een CNAME-record tegenkomen negeren we DNS TXT en CAA-records voor dat domein. In plaats van te zoeken naar een CAA-record op de opgegeven domeinnaam, zoeken we naar CAA-records op het domein waar de CNAME naar verwijst.
Wees voorzichtig bij het updaten van CAA
Ga voorzichtig te werk bij het aanmaken van CAA-records. Als u andere afdelingen heeft die certificaten bestellen, moet u ervoor zorgen dat alle gebruikte CA's aan uw CAA-records worden toegevoegd. Omdat CAA-controle verplicht is en leidt tot afgewezen bestellingen die een CA niet ongedaan kan maken, is het belangrijk dat de DNS-beheerder het bedrijf niet blokkeert! Als u dus een serviceprovider gebruikt voor een of meerdere van uw hostingoplossingen, beveiligt de provider die servers mogelijk met een CA waarmee u geen directe relatie heeft, dus wees voorzichtig.
Als snelle controle kunt u een query uitvoeren voor certificaten die werden verleend voor uw domein met https://crt.sh/, waarbij u als antwoord een lijst met de verlenende CA's voor dat domein ontvangt. Schiet uzelf niet in de voet, denk na bij het updaten van CAA-records!
GlobalSign en CAA
GlobalSign startte met het opleggen van CAA op 28 augustus 2017.
Zoals hierboven vermeld, hebben we een aantal supportartikelen geschreven om u te helpen bij de implementatie en het oplossen van een aantal veel voorkomende fouten. Aarzel niet om contact met ons op te nemen als u nog vragen heeft over CAA.