domena

Czym jest mechanizm CAA i dlaczego warto go mieć?

domenaOd 8 września 2017 roku wszedł w życie nowy obowiązek weryfikowania rekordów CAA w rekordach DNS klientów, którzy ubiegają się o wydanie certyfikatu SSL. Wraz z dużą popularnością certyfikatów SSL, w samym tylko 2017 roku ilość stron wykorzystujących mechanizm CAA wzrosła dziesięciokrotnie. Poniżej prezentujemy, czym jest mechanizm CAA i dlaczego warto go wdrożyć, natomiast więcej o certyfikatach znajdziesz np. w tym artykule.

Czym jest mechanizm CAA?

CAA (ang. Certification Authority Authorization) to zwana inaczej Autoryzacja Urzędów Certyfikacji. Mechanizm ten ułatwia prawidłowe wydawanie certyfikatów SSL, a także wielopoziomowo poprawia bezpieczeństwo infrastruktury Klucza Publicznego.

Zasadność wdrażania mechanizmu CAA wiąże się z nierzadkim problemem sprecyzowania, który Urząd Certyfikacyjny ma obowiązek wydania certyfikatu SSL domenie. W związku z tym mechanizm CAA wpływa na możliwość skuteczniejszego egzekwowania działań podmiotów wydających certyfikaty.

Dlaczego warto wdrożyć CAA?

 

profesjonalny-hosting

 

Istnieje kilka korzyści przemawiających za wdrożeniem opisywanego mechanizmu. Poza ogólną poprawą bezpieczeństwa witryny, implementacja CAA marginalizuje ryzyko ograniczenia uprawnień Urzędów Certyfikacji związanych z rolą wydawania certyfikatów.

Dzięki wdrożeniu CAA, przy tworzeniu nowej usługi w domenie oraz zażądaniu do niej certyfikatu, możliwe jest skorzystanie z pewnej skróconej listy zatwierdzonych Urzędów Certyfikacyjnych, co zapobiega powstawaniu błędów operacyjnych i konfiguracyjnych. Mechanizm CAA pozwala także raportować, a także  otrzymywać powiadomienia, gdy urząd otrzyma żądanie certyfikacyjne, którego nie będzie w stanie zrealizować.

W jaki sposób implementować CAA?

Mechanizm CAA nie jest zbyt skomplikowany we wdrożeniu. Jednym z warunków jest dodatnie obsługi CCA przez dostawcę systemu DNS, ponieważ wdrożenie mechanizmu wymaga wykorzystania nowego rekordu zasobu DNS. Zatem instalacja CAA wymaga sporządzenia listy Urzędów Certyfikacyjnych, które certyfikują Twoją domenę. Następnie lista urzędów powinna zostać wprowadzona do rekordu CAA. Ostatnim krokiem, który nalezy wykonać, jest stworzenie rekordu DNS CAA. Pamiętaj, że zawsze możesz zmodyfikować listę poprzez zmianę urzędów lub dodanie nowych jednostek.

CAA nie ogranicza decyzji użytkownika, związanej z wybraniem konkretnego Urzędu Certyfikacji. Co więcej, wykorzystując mechanizm CAA, możliwe jest również blokowanie nadawania uprawnień do certyfikacji SSL.

Zgoda na cookies. (info)

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close