SSL-сертификаты — основа безопасности интернета, но если злоумышленник получит поддельный сертификат для вашего домена, никакая зелёная иконка HTTPS не спасёт. Для защиты от этого создана CAA (Certification Authority Authorization). Эта запись через DNS объявляет список разрешённых владельцем центров сертификации, и другие CA обязаны отказывать в выдаче сертификата.
Как работает CAA
С 2017 года проверка CAA обязательна для всех CA. Любой центр — Let's Encrypt, DigiCert, Sectigo, GlobalSign — обязан проверить CAA перед выдачей сертификата. Если в записи нет имени CA, сертификат не будет выдан. Это требование Baseline Requirements, и нарушение угрожает CA потерей лицензии.
Формат: sayt.uz IN CAA 0 issue "letsencrypt.org". Эта запись разрешает только Let's Encrypt выдавать сертификаты для sayt.uz. Любая попытка другого CA будет отклонена. Чтобы разрешить нескольким CA, добавляйте несколько записей.
Типы и параметры
Три основных тега: issue, issuewild и iodef. Issue — для обычных сертификатов, issuewild — для wildcard. Если вы хотите запретить wildcards, ставите issuewild ";". Тег iodef задаёт email для уведомлений о нарушениях.
Полная конфигурация может выглядеть так: sayt.uz CAA 0 issue "letsencrypt.org", sayt.uz CAA 0 issuewild "letsencrypt.org", sayt.uz CAA 0 iodef "mailto:security@sayt.uz". Этими тремя записями разрешён только Let's Encrypt, а о попытках вы получите уведомление.
Защита от фишинга
Главная польза CAA — защита от случайной выдачи сертификата другим CA сотрудником или от злоумышленника, проникшего в DNS-панель. Допустим, ваш отдел маркетинга решил получить wildcard через Cloudflare, но политика позволяет только корпоративный CA. CAA автоматически остановит эту выдачу.
Кроме того, через iodef CAA уведомляет о попытках нарушения. CA обязан отправить email о каждом отказе. Это позволяет рано обнаружить DNS spoofing или внутренние угрозы.
Тонкости настройки
CAA максимально эффективна вместе с DNSSEC. Без DNSSEC злоумышленник может подменить ответ DNS и подсунуть свой CA. Поэтому серьёзные организации применяют CAA и DNSSEC вместе.
Ещё важный момент — CAA проверяется только при выдаче, и не влияет на существующие сертификаты. Если у вас уже есть Let's Encrypt, а CAA указывает другой CA, текущий сертификат продолжит работать, но при обновлении вам нужно будет добавить разрешение.
Sayt.uz практика
18 процентов клиентов используют CAA, и за прошлый год эта цифра выросла до 31 процента. В 2032 году CAA заблокировала 4 попытки несанкционированной выдачи сертификата. При регистрации домена (от 145 000 сум в год) мы настраиваем CAA бесплатно — если SSL также берётся у нас, разрешение добавляется автоматически. Для корпоративных клиентов пакет CAA + DNSSEC — дополнительные 95 000 сум в год с iodef-мониторингом и ежемесячным отчётом.