3.1.5.7. CAA

CAA (Certification Authority Authorization) — запись, которая определяет, каким центрам сертификации разрешено выпускать SSL-сертификаты для определённого домена или поддомена.

Важные моменты:

  • Значение записи для домена или субдомена наследуется на все его субдомены, если явно не задано другое.
  • Для определения нескольких центров сертификации для одного домена или субдомена нужно добавлять несколько CAA-записей.
  • Отсутствие CAA-записи расценивается центрами сертификации как разрешение на выпуск сертификата.
  • Полная спецификация CAA-записи доступна в RFC 6844.

Запись добавляется в настройках домена и её данные состоят из трёх параметров, разделённых пробелами: 

flag tag value

Параметры:

  • flag — 8-битное число, старший бит которого определяет, насколько критично центр сертификации относится к записи. Возможные значения:
    • 0 — если центр сертификации не поддерживает параметр tag или не может его распознать, ему разрешено выпускать сертификат на своё усмотрение.
    • 128 — если центр сертификации не поддерживает параметр tag или не может его распознать, ему запрещено выпускать сертификат.
  • tag — возможные значения:
    • issue — определяет центр сертификации, которому разрешено выпускать сертификат.
    • issuewild — определяет центр сертификации, которому разрешено выпускать wildcard-сертификат.
    • iodef — определяет адрес электронной почты или URL, который центр сертификации должен использовать для уведомлений, если поступит запрос на выпуск сертификата с нарушением правил, определенных CAA-записью.
  • value — зависит от значения tag и обязательно должно быть в двойных кавычках (""). Если дополнительных параметров несколько, они должны разделяться точкой с запятой (;). Возможные значения:
    • Если tag равно issue, то в качестве value указывается:
      • Либо домен центра сертификации, которому разрешено выпускать сертификат.
      • Либо ";", если нужно запретить выпускать сертификат всем центрам сертификации.
    • Если tag равно issuewild, то возможные значения для value те же, что и при tag равно issue, только в этом случае для wildcard-сертификата.
    • Если tag равно iodef, то в качестве value указывается:
      • Либо адрес электронной почты в формате "mailto:admin@example.com".
      • Либо URL в формате "http(s)://URL".

Для удобства при создании записи можно воспользоваться онлайн-генераторами:

Как выглядят записи CAA в настройках домена:

Содержание