SSL sertifikatlari internet xavfsizligining asosi hisoblanadi, lekin agar tajovuzkor sizning domain'ingiz uchun soxta sertifikat olib qo'ysa, hech qanday HTTPS yashil belgisi sizni qutqarmaydi. Ana shu xavfdan himoyalanish uchun CAA (Certification Authority Authorization) yozuvi ishlab chiqilgan. Bu yozuv DNS orqali domain egasi tomonidan ruxsat berilgan sertifikat markazlari ro'yxatini e'lon qiladi va boshqa CA'lar bu domain uchun sertifikat berishni rad etishi shart bo'ladi.
CAA qanday ishlaydi
CAA yozuvi 2017-yildan boshlab barcha sertifikat markazlari uchun majburiy tekshiruv obyekti bo'lib qoldi. Ya'ni har qanday CA — Let's Encrypt, DigiCert, Sectigo, GlobalSign — domain uchun sertifikat berishdan oldin CAA yozuvini tekshirishi shart. Agar yozuvda CA'ning nomi yo'q bo'lsa, sertifikat berilmaydi. Bu Baseline Requirements hujjatining majburiy qoidasi va uni buzgan CA o'z litsenziyasidan ayrilishi mumkin.
Yozuv formati shunday: sayt.uz IN CAA 0 issue "letsencrypt.org". Bu yozuv faqat Let's Encrypt'ga sayt.uz uchun sertifikat berishga ruxsat beradi. Agar boshqa CA, masalan DigiCert, sertifikat berishga harakat qilsa, u darhol rad etadi. Bir nechta CA'ga ruxsat berish uchun ko'p yozuvlar qo'shasiz.
Yozuv turlari va parametrlari
Uchta asosiy tag bor: issue, issuewild va iodef. Issue tagi oddiy sertifikatlar uchun, issuewild esa wildcard (*.sayt.uz) sertifikatlari uchun. Agar siz wildcardlarni butunlay taqiqlamoqchi bo'lsangiz, issuewild ";" qiymati bilan yozasiz. Iodef tagi esa CAA buzilishi haqida xabar berish uchun email manzilni belgilaydi.
Masalan, to'liq konfiguratsiya quyidagicha ko'rinishi mumkin: sayt.uz CAA 0 issue "letsencrypt.org", sayt.uz CAA 0 issuewild "letsencrypt.org", sayt.uz CAA 0 iodef "mailto:security@sayt.uz". Bu uchta yozuv bilan siz faqat Let's Encrypt'ga ruxsat berasiz va har qanday urinish haqida xabar olasiz.
Phishing va noqonuniy sertifikatlardan himoya
CAA'ning eng katta foydasi — sizning xodimingiz tasodifan boshqa CA'dan sertifikat olishidan yoki tajovuzkor sizning DNS panelingizga kirib qolib soxta sertifikat olishidan saqlanish. Tasavvur qiling, sizda ichki marketing bo'limi Cloudflare orqali wildcard sertifikat olmoqchi, lekin sizning siyosatingiz bo'yicha faqat korporativ CA ishlatilishi kerak. CAA bu vaziyatda avtomatik tarzda noto'g'ri sertifikat berishni to'xtatadi.
Bundan tashqari, CAA buzilish urinishlari haqida iodef orqali xabar yetkazadi. CA bu yozuvni ko'rib chiqib, har bir rad etilgan so'rov haqida xavfsizlik jamoasiga email yuborishi mumkin. Bu sizga DNS spoofing yoki ichki insider xavf-xatarlarni erta aniqlash imkonini beradi.
Sozlashdagi nozik jihatlar
CAA yozuvi DNSSEC bilan birga ishlatilganda eng samarali bo'ladi. DNSSECsiz bo'lsa, tajovuzkor DNS javobini almashtirib, o'z CA'sini qonuniy ko'rsatishi mumkin. Shu sababli xavfsizlikka jiddiy yondashayotgan tashkilotlar CAA va DNSSEC'ni birgalikda qo'llaydi.
Yana bir muhim nuqta — CAA tekshiruvi faqat sertifikat berilgan paytda amalga oshiriladi, ya'ni mavjud sertifikatlarga ta'sir qilmaydi. Demak, agar siz Let's Encrypt'dan sertifikat olgan bo'lsangiz va keyin CAA'da boshqa CA'ni ko'rsatsangiz, mavjud sertifikat hali ham ishlaydi, lekin uni yangilash uchun CAA ruxsatini berishingiz kerak bo'ladi.
Sayt.uz amaliyot
Sayt.uz mijozlarining 18 foizi CAA yozuvini ishlatadi, lekin so'nggi yilda bu raqam 31 foizgacha o'sgan. 2032-yil davomida 4 ta noqonuniy sertifikat berilish urinishi CAA tomonidan to'sib qolingan. Domain ro'yxatga olishda (yiliga 145 000 so'mdan boshlanadi) biz mijozga CAA yozuvini bepul sozlab beramiz — agar SSL ham biz orqali olingan bo'lsa, avtomatik tarzda mos CA ruxsat beriladi. Korporativ mijozlar uchun CAA + DNSSEC paket xizmati — yiliga qo'shimcha 95 000 so'm, ichida iodef monitoringi va oylik xavfsizlik hisoboti bor.