Войти в аккаунт


Техническая поддержка Openprovider

Связаться со службой тех. поддержки

+7 383 383 04 09

support@openprovider.ru

Понедельник-Четверг: с 09:00 до 18:00. Пятница: с 09:00 до 15:00





Вы также можете обратиться к нашей базе знаний где вы можете найти наиболее полную информацию по продуктам и услугам Openprovider.

Авторизация центра сертификации

Комментарии к записи Авторизация центра сертификации отключены

Авторизация центра сертификации (CAA, RFC6844) предназначена для снижения риска выдачи сертификата SSL/TLS без предварительного ведома владельца.

Как это работает

Самое простое описание CAA состоит в том, что это DNS-запись, содержащая список CAS, разрешенных для выдачи сертификатов для вашего домена. Центр сертификации должен проверить эту запись перед выдачей сертификата и выдать сертификата только в том случае, если он уполномочен на это.

Запись CAA имеет следующую структуру:
flag tag ca

  • flag‘ может содержать только 0 или 128, 0 определяет запись как обязательную, 128 делает ее необязательной. Мы советуем установить его на «0»
  • tag‘ задает тип записи САА, он может содержать issue или issuewild. Это определяет следующие параметры;
    • ‘issue’ позволит CA выпустить только «обычный» сертификат для одного домена.
    • ‘issuewild’ означает, что центр сертификации может выдать wildcard сертификат.
  • ca‘ указывает на то, какие центры сертификации имеют право выпускать сертификат (ы).

Настройка CAA

На sslmate есть отличный инструмент – CAA Record Generator – его название говорит само за себя! Просто зайдите на сайт, добавьте доменное имя, выберите СА, которым вы даёте разрешение на выпуск сертификатов и укажите адрес для отправки отчётов о несанкционированных действиях в отношении домена, идущих вразрез с вашей политикой выпуска сертификатов – и всё готово. Инструмент сгенерирует для вас DNS (CAA) запись, которую вы можете скопировать в вашу DNS зону. DNS зона с простейшей CAA записью будет выглядеть так:

Простой пример для Comodo
example.com. IN CAA 0 issue "comodoca.com"

Простой пример для Symantec
example.com. IN CAA 0 issue "symantec.com"

Простой пример для RapidSSL
example.com. IN CAA 0 issue "rapidssl.com"

Простой пример для Thawte
example.com. IN CAA 0 issue "thawte.com"

Простой пример для GeoTrust
example.com. IN CAA 0 issue "geotrust.com"

Share on LinkedIn0Tweet about this on TwitterShare on Facebook0Share on Google+0Email this to someone