Che cos’è un record CAA e come funziona?

caa_record

Il mondo delle Autorità di Certificazione è strettamente regolamentato. Ci vuole un enorme sforzo tecnico e finanziario per soddisfare tutti i requisiti di revisione. Anche così, ottenere la fiducia dei browser e dei sistemi operativi è la parte più semplice. Mantenere la fiducia online è la vera sfida.

C’è un motivo per cui la maggior parte delle aziende innovative, tra cui l’89% delle Fortune 500 e 97 delle 100 principali banche globali, si affidano a DigiCert quando si tratta di crittografia dei dati. Allo stesso modo, il dominio sul mercato di Sectigo con oltre tre milioni di clienti ha perfettamente senso. Queste affidabili autorità di certificazione sono state in prima linea nel settore SSL. La qualità dei loro servizi ha superato la prova del tempo.

Questo non vuol dire che altre CA siano meno sicure o affidabili. Ma, come per ogni cosa nella vita, le preferenze delle persone differiscono quando si tratta di CA. La fedeltà del cliente a un marchio è guidata non solo dall’affidabilità, ma anche dalla connessione emotiva e dai pregiudizi. 

Se non ti piace o non ti fidi di una determinata autorità di certificazione per qualsiasi motivo, puoi impedirle di emettere certificati SSL per tuo conto. Sì, hai letto bene. Tu, in qualità di proprietario del sito web, hai il potere di scegliere quali CA possono firmare i certificati SSL per il tuo dominio. Tutto quello che devi fare è aggiungere qualcosa noto come record CAA. In questo articolo spiegheremo cos’è un record CAA e come funziona. Ti mostreremo come creare un record CAA ed elencheremo alcuni motivi per cui vorresti farlo in primo luogo. Iniziamo!

Che cos’è un record CAA?

CAA è l’acronimo di Certificate Authority Authorization , una misura di sicurezza DNS (domain name system) che consente ai titolari di nomi di dominio di specificare alle CA se sono autorizzati a emettere certificati SSL per un particolare nome di dominio. Ecco come un record CAA cercherà SSL in un server DNS:

certssl.it. CAA 0 issue “digicert.com”

In questo esempio, solo DigiCert è autorizzato a emettere certificati digitali per questo dominio. Altre autorità di certificazione devono conformarsi a questo comando o rischiano di essere diffidate. In qualità di proprietario del dominio, puoi decidere quante CA possono emettere certificati SSL per il tuo sito e persino specificare il tipo di certificato. Ecco un esempio di record CAA per i certificati con caratteri jolly:

certssl.it.  CAA 0 issuewild “sectigo.com”

In questo caso, solo Sectigo può emettere certificati con caratteri jolly per certssl.it. Come da CA/Browser Forum Ballot 187 , le CA devono controllare i record CAA prima di emettere un certificato SSL. 

Ora che sai cos’è un record CA, è il momento di approfondire il suo funzionamento.

Come funziona un record CAA?

Prendiamo ogni elemento di un record CAA e analizziamolo. Useremo lo stesso esempio ipotetico per il sito Web e un vero record CAA di Google.com. Puoi cercarlo tu stesso con lo strumento di verifica DNS .

certssl.it. CAA 0 issue “digicert.com”

Il record CAA di cui sopra include le seguenti parti:

  • google.com – il dominio che vuoi proteggere
  • CAA – il tipo di record
  • – bandiera
  • issue – tag
  • Digiert.com – la CA autorizzata a emettere certificati digitali per questo particolare dominio.

L’esempio di Google contiene anche l’ attributo TTL . Di seguito analizzeremo i tag, i flag, i valori e il TTL:

bandiere

Un flag può essere uno dei due stati specifici 1 (critico) o 0 (non critico), con quest’ultimo come valore predefinito.

  • Il flag indica alla CA che non può procedere con l’emissione del certificato se non comprende la proprietà e deve informare il proprietario del dominio tramite e-mail dell’errore di controllo del record CAA.
  • Il flag informa la CA che può utilizzare qualsiasi informazione sui record CAA nella zona DNS. Se non riconosce questo record, può utilizzarne un altro nel file di zona DNS.

tag

Un tag determina l’azione che una CA autorizzata può eseguire quando emette certificati digitali. I tre tag definiti nello standard proposto sono issue issuewild iodef . Tuttavia, le CA possono anche creare i propri tag personalizzati per facilitare il processo di emissione del certificato.

  • Il tag problema autorizza una particolare CA a emettere certificati regolari, senza caratteri jolly per il dominio specificato e tutti i suoi sottodomini.
  • Il tag issuewild autorizza una determinata CA a emettere certificati con caratteri jolly per il dominio in questione.
  • Il tag iodef (formato di scambio della descrizione dell’oggetto incidente) avvisa il proprietario del dominio via e-mail quando una richiesta di certificato non supera il controllo CAA. Ecco come la sintassi dovrebbe cercare la proprietà iodef certssl.it. CAA 0 iodef “mailto: email@certssl.it” .

TTL (time to live) è il periodo in secondi in cui un server deve memorizzare nella cache il record CAA.

Ora che conosci gli elementi di un record CAA, creiamone uno tuo. Con così tanti modi disponibili su come creare un record di certificato CAA per il tuo dominio, ci concentreremo sui due più comuni.

Come aggiungere un record CAA sul tuo server DNS?

Se utilizzi il tuo server DNS, puoi creare il tuo record CAA direttamente nel file DNS BIND.

  1. Utilizza un editor di testo come Blocco note per aprire il file DNS del tuo dominio.
  2. Aggiungi o aggiorna le informazioni del record CAA DNS in quel file. Utilizzare l’esempio di record CAA fornito in precedenza. Includi i flag, i tag, il valore, ecc.
  3. Salva il file di zona con la tua nuova configurazione.

Come aggiungere un record CAA in cPanel?

Se vuoi aggiungere un record CAA tramite il tuo pannello di hosting, ecco come farlo:

  • Accedi al tuo account cPanel
  • Dalla sezione Domini clicca su Editor di Zona
  • Accanto al dominio per il quale desideri creare un record CAA, fai clic su Gestisci
  • Nella pagina Editor di zona , trova il pulsante Aggiungi record ed espandilo. Dall’elenco a discesa, seleziona Aggiungi record “CAA”
  • Ora devi compilare i campi richiesti:
    • Il nome del dominio o sottodominio per il quale vuoi aggiungere un record CAA
    • Il tipo di record (CAA)
    • La bandiera (0 o 1)
    • Il tag (issue, issuewild, iodef)
    • Il valore (il nome a dominio della CA autorizzata)
  • Fare clic su Aggiungi record per completare la configurazione

Ormai dovresti essere un esperto di tutto ciò che riguarda i record CAA. Ma il tuo sito web ne ha bisogno? Di seguito abbiamo elencato alcuni motivi per cui potresti prendere in considerazione la creazione di un record CA per il tuo dominio:

Pensieri finali

I certificati SSL sono ormai un elemento essenziale di ogni sito web. E mentre violare la crittografia HTTPS va oltre le capacità umane, i cyber-attaccanti sono sempre alla ricerca di modi intelligenti per compromettere il tuo nome. Per fortuna, i record CAA sono un’altra eccellente misura di sicurezza per proteggere l’identità del tuo marchio. I record CAA ti danno il pieno controllo sul processo di emissione del certificato.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *