Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
Панель управления
  • Русский
  • Українська
  • UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  Vodafone
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

3.1.5.7. CAA

CAA (Certification Authority Authorization) — запись, которая определяет, каким центрам сертификации разрешено выпускать SSL-сертификаты для определённого домена или поддомена.

Важные моменты

  • Значение записи для домена или субдомена наследуется на все его субдомены, если явно не задано другое.
  • Чтобы определить несколько центров сертификации для одного домена или субдомена, нужно добавлять несколько CAA-записей.
  • Отсутствие CAA-записи расценивается центрами сертификации как разрешение на выпуск сертификата.
  • Полная спецификация CAA-записи доступна в RFC 6844.

Запись добавляется в настройках домена и её данные состоят из трёх параметров, разделённых пробелами:

flag tag value

Параметры:

  • flag — 8-битное число, старший бит которого определяет, насколько критично центр сертификации относится к записи. Возможные значения:
    • 0 — если центр сертификации не поддерживает параметр tag или не может его распознать, ему разрешено выпускать сертификат на своё усмотрение.
    • 128 — если центр сертификации не поддерживает параметр tag или не может его распознать, ему запрещено выпускать сертификат.
  • tag — возможные значения:
    • issue — определяет центр сертификации, которому разрешено выпускать сертификат.
    • issuewild — определяет центр сертификации, которому разрешено выпускать wildcard-сертификат.
    • iodef — определяет адрес электронной почты или URL, который центр сертификации должен использовать для уведомлений, если поступит запрос на выпуск сертификата с нарушением правил, определенных CAA-записью.
  • value — зависит от значения tag и обязательно должно быть в двойных кавычках (""). Если дополнительных параметров несколько, они должны разделяться точкой с запятой (;). Возможные значения:
    • Если tag равно issue, то в качестве value указывается:
      • Либо домен центра сертификации, которому разрешено выпускать сертификат.
      • Либо ";", если нужно запретить выпускать сертификат всем центрам сертификации.
    • Если tag равно issuewild, то возможные значения для value те же, что и при tag равно issue, только в этом случае для wildcard-сертификата.
    • Если tag равно iodef, то в качестве value указывается:
      • Либо адрес электронной почты в формате "mailto:admin@example.com".
      • Либо URL в формате "http(s)://URL".

Для удобства при создании записи можно воспользоваться онлайн-генераторами:

Пример настроек домена с добавленными записями CAA: