3.1.5.7. CAA
CAA (Certification Authority Authorization) — запись, которая определяет, каким центрам сертификации разрешено выпускать SSL-сертификаты для определённого домена или поддомена.
Важные моменты:
- Значение записи для домена или субдомена наследуется на все его субдомены, если явно не задано другое.
- Для определения нескольких центров сертификации для одного домена или субдомена нужно добавлять несколько CAA-записей.
- Отсутствие CAA-записи расценивается центрами сертификации как разрешение на выпуск сертификата.
- Полная спецификация CAA-записи доступна в RFC 6844.
Запись добавляется в настройках домена и её данные состоят из трёх параметров, разделённых пробелами:
flag tag value
Параметры:
flag
— 8-битное число, старший бит которого определяет, насколько критично центр сертификации относится к записи. Возможные значения:0
— если центр сертификации не поддерживает параметрtag
или не может его распознать, ему разрешено выпускать сертификат на своё усмотрение.128
— если центр сертификации не поддерживает параметрtag
или не может его распознать, ему запрещено выпускать сертификат.
tag
— возможные значения:issue
— определяет центр сертификации, которому разрешено выпускать сертификат.issuewild
— определяет центр сертификации, которому разрешено выпускать wildcard-сертификат.iodef
— определяет адрес электронной почты или URL, который центр сертификации должен использовать для уведомлений, если поступит запрос на выпуск сертификата с нарушением правил, определенных CAA-записью.
value
— зависит от значенияtag
и обязательно должно быть в двойных кавычках (""
). Если дополнительных параметров несколько, они должны разделяться точкой с запятой (;
). Возможные значения:- Если
tag
равноissue
, то в качествеvalue
указывается:- Либо домен центра сертификации, которому разрешено выпускать сертификат.
- Либо
";"
, если нужно запретить выпускать сертификат всем центрам сертификации.
- Если
tag
равноissuewild
, то возможные значения дляvalue
те же, что и приtag
равноissue
, только в этом случае для wildcard-сертификата. - Если
tag
равноiodef
, то в качествеvalue
указывается:- Либо адрес электронной почты в формате
"mailto:admin@example.com"
. - Либо URL в формате
"http(s)://URL"
.
Для удобства при создании записи можно воспользоваться онлайн-генераторами:
Как выглядят записи CAA в настройках домена: