We use cookies
We use cookies to optimize our website. By continuing to browse the site, you agree to our use of cookies.
Control panel
  • Русский
  • Українська
  • English
  • UAH
  • USD
  • RUB
  • EUR
  • 0-800-307-307 Hotline
  • +38 (044) 392-74-33 Kiev
  • +38 (057) 728-39-00 Kharkiv
  • +38 (056) 794-38-31 Dnipro
  • +38 (032) 229-58-93 Lviv
  • +38 (048) 738-57-70 Odessa
  • +38(093) 170-15-42  Life
  • +38 (067) 400-88-44 Kievstar
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7 (499) 348-28-61 Moscow

3.1.5.7. CAA

CAA (Certification Authority Authorization) — запись, которая определяет, каким центрам сертификации разрешено выпускать SSL-сертификаты для определённого домена или поддомена.

Важные моменты

  • Значение записи для домена или субдомена наследуется на все его субдомены, если явно не задано другое.
  • Чтобы определить несколько центров сертификации для одного домена или субдомена, нужно добавлять несколько CAA-записей.
  • Отсутствие CAA-записи расценивается центрами сертификации как разрешение на выпуск сертификата.
  • Полная спецификация CAA-записи доступна в RFC 6844.

Запись добавляется в настройках домена и её данные состоят из трёх параметров, разделённых пробелами:

flag tag value

Параметры:

  • flag — 8-битное число, старший бит которого определяет, насколько критично центр сертификации относится к записи. Возможные значения:
    • 0 — если центр сертификации не поддерживает параметр tag или не может его распознать, ему разрешено выпускать сертификат на своё усмотрение.
    • 128 — если центр сертификации не поддерживает параметр tag или не может его распознать, ему запрещено выпускать сертификат.
  • tag — возможные значения:
    • issue — определяет центр сертификации, которому разрешено выпускать сертификат.
    • issuewild — определяет центр сертификации, которому разрешено выпускать wildcard-сертификат.
    • iodef — определяет адрес электронной почты или URL, который центр сертификации должен использовать для уведомлений, если поступит запрос на выпуск сертификата с нарушением правил, определенных CAA-записью.
  • value — зависит от значения tag и обязательно должно быть в двойных кавычках (""). Если дополнительных параметров несколько, они должны разделяться точкой с запятой (;). Возможные значения:
    • Если tag равно issue, то в качестве value указывается:
      • Либо домен центра сертификации, которому разрешено выпускать сертификат.
      • Либо ";", если нужно запретить выпускать сертификат всем центрам сертификации.
    • Если tag равно issuewild, то возможные значения для value те же, что и при tag равно issue, только в этом случае для wildcard-сертификата.
    • Если tag равно iodef, то в качестве value указывается:
      • Либо адрес электронной почты в формате "mailto:admin@example.com".
      • Либо URL в формате "http(s)://URL".

Для удобства при создании записи можно воспользоваться онлайн-генераторами:

Пример настроек домена с добавленными записями CAA: