Tento článek rozebírá podrobně DNS záznam typu CAA. Obecný návod k DNS záznamům a jejich nastavení v zákaznické administraci najdete v článku DNS – Záznamy domény.
V tomto článku se dozvíte:
- K čemu slouží záznamy typu CAA
- Jak záznamy typu CAA správně zadat
- Příklady nastavení CAA záznamů
- Často kladené dotazy
Účel záznamů typu CAA
Záznam Certification Authority Authorization (CAA) umožňuje stanovit, které certifikační autority (CA) mají povoleno doméně vystavit SSL certifikát. Varianta záznamu také umožňuje definovat pravidlo, jak a komu vystavující CA oznámí událost, kdy se někdo pokusí doméně vystavit certifikát certifikační autorita, kterou k tomu záznam neautorizuje.
Pokud doména nebo subdoména žádný CAA záznam nastavený nemá, může jí vystavit certifikát jakákoliv CA bez omezení. Certifikační autorita také nemusí CAA záznamy podporovat – v takovém případě se chová stejně, jako kdyby neexistovaly.
CAA záznamy nastavené pro hlavní doménu platí i pro všechny subdomény, které nemají nastavený vlastní CAA záznam s jinými pravidly.
Zadání záznamů typu CAA
Obecný návod k nastavení DNS záznamů v zákaznické administraci najdete v článku DNS – Záznamy domény.
Pokud doména používá jiné DNS servery, automatické ani manuální změny záznamů WEDOS se na jejím chování neprojeví.
Data CAA záznamu tvoří tyto části:
- Flag: kladné číslo s hodnotou 0-255 (zpravidla 0)
- Tag: definuje vlastnost CAA záznamu
- Value: hodnota přiřazená tagu
Podporované tagy jsou:
- issue: autorizuje definovanou CA pro vystavení jakéhokoliv typu certifikátu
- issuewild: autorizuje definovanou CA pro vystavení pouze wildcard certifikátu
- iodef: specifikuje URL, na kterou vystavující CA oznámí narušení pravidel definovaných CAA pro danou doménu
Při vyplňování záznamu typu CAA dodržujte tato pravidla:
- Každému záznamu přiřazujte právě jedno tag-value pravidlo.
- Potřebujete-li jednomu záznamu zadat více pravidel, rozdělte je mezi samostatné záznamy.
- Hodnoty tagů (value) pište do uvozovek.
Obecný záznam typu CAA tedy vypadá takto:
Název TTL Typ Data
(název domény nebo subdomény) 300 CAA 0 (flag) "(hodnota)"
Příklady záznamů typu CAA
Příklad: Doména umožňuje vystavení certifikátů od letsencrypt.org. Pokusí-li se certifikát vystavit jiná autorita, zašle o tom informaci e-mailem na info@wds-test.cz.
Často kladené dotazy
Otázka: Je nastavení CAA záznamů u domény nezbytné?
Odpověď: Ne, většina domén funguje bez problému i bez záznamů typu CAA.