DNS – Záznam typu CAA

  DNS

Tento článek rozebírá podrobně DNS záznam typu CAA. Obecný návod k DNS záznamům a jejich nastavení v zákaznické administraci najdete v článku DNS – Nastavení záznamů domény.

V tomto článku se dozvíte:

Účel záznamů typu CAA

Záznam Certification Authority Authorization (CAA) umožňuje stanovit, které certifikační autority (CA) mají povoleno doméně vystavit SSL certifikát. Varianta záznamu také umožňuje definovat pravidlo, jak a komu vystavující CA oznámí událost, kdy se někdo pokusí doméně vystavit certifikát certifikační autorita, kterou k tomu záznam neautorizuje.

Pokud doména nebo subdoména žádný CAA záznam nastavený nemá, může jí vystavit certifikát jakákoliv CA bez omezení. Certifikační autorita také nemusí CAA záznamy podporovat – v takovém případě se chová stejně, jako kdyby neexistovaly.

CAA záznamy nastavené pro hlavní doménu platí i pro všechny subdomény, které nemají nastavený vlastní CAA záznam s jinými pravidly.

Zadání záznamů typu CAA

Obecný návod k nastavení DNS záznamů v zákaznické administraci najdete v článku DNS – Nastavení záznamů domény.

Pokud doména používá jiné DNS servery, automatické ani manuální změny záznamů WEDOS se na jejím chování neprojeví.

Data CAA záznamu tvoří tyto části:

  1. Flag: kladné číslo s hodnotou 0-255 (zpravidla 0)
  2. Tag: definuje vlastnost CAA záznamu
  3. Value: hodnota přiřazená tagu

Podporované tagy jsou:

  • issue: autorizuje definovanou CA pro vystavení jakéhokoliv typu certifikátu
  • issuewild: autorizuje definovanou CA pro vystavení pouze wildcard certifikátu
  • iodef: specifikuje URL, na kterou vystavující CA oznámí narušení pravidel definovaných CAA pro danou doménu

Při vyplňování záznamu typu CAA dodržujte tato pravidla:

  • Každému záznamu přiřazujte právě jedno tag-value pravidlo.
  • Potřebujete-li jednomu záznamu zadat více pravidel, rozdělte je mezi samostatné záznamy.
  • Hodnoty tagů (value) pište do uvozovek.

Obecný záznam typu CAA tedy vypadá takto:

Název                         TTL    Typ  Data
(název domény nebo subdomény) 300    CAA  0 (flag) “(hodnota)”
Zadat DNS záznamy domény

Příklady záznamů typu CAA

Příklad: Doména umožňuje vystavení certifikátů od letsencrypt.org. Pokusí-li se certifikát vystavit jiná autorita, zašle o tom informaci e-mailem na info@wds-test.cz.

WEDOS Vzorové CAA záznamy s tady issue a iodef
Vzorové CAA záznamy s tagy issue a iodef

Často kladené dotazy

Otázka: Je nastavení CAA záznamů u domény nezbytné?
Odpověď: Ne, většina domén funguje bez problému i bez záznamů typu CAA.

Pomohl Vám návod?
Děkujeme za zpětnou vazbu!