Итак, есть сайт olegon.ru, для которого специальным центром выпущен сертификат, позволяющий шифровать трафик между браузером пользователя и сайтом. Т.е. браузер лезет на хост, видит сертификат доверенного центра и трафик шифруется. С разбегу видно узкое место: если каким-то образом обмануть другой центр и сказать, чтобы выпустил сертификат для olegon.ru, то можно притворяться olegon.ru сколько угодно.
Воздействовать на центр сертификации можно только обманом, поскольку достаточно одного случае выпуска сертификата "налево", как центр вылетит из списка доверенных, независимо от своего статуса, как это уже было с печально известным Symantec.
Как же предотвратить обман центра сертификации, заблокировав попытки темных личностей сделать вид, что olegon.ru их собственность и выписать себе сертификат? Очень просто. В записи CAA указывается, какой центр вправе выпускать сертификаты для этого домена.
Например, в моем любимом Hurricane Electric это делается просто, в панели редактирования зоны выбираете Additional - CAA, вписываете имя домена, срок кеширования записи и третьей строкой
Код:
128 issue "letsencrypt.org"
т.е. ограничивая выпуск сертификата только в Letsencrypt. Все остальные центры обязаны отказываться выпускать сертификаты для olegon.ru
В RAW-формате запись выглядит так
Код:
olegon.ru. 86400 IN CAA 128 issue letsencrypt.org