Начиная с сентября 2017 года удостоверяющим центрам предписано обязательно
проверять CAA-записи в DNS перед генерацией сертификата. CAA (RFC-6844,
Certificate Authority Authorization) позволяет владельцу домена явно определить
удостоверяющий центр, который имеет полномочия для генерации сертификатов для
указанного домена. При наличии CAA-записи все остальные удостоверяющие центры
обязаны блокировать выдачу сертификатов от своего имени для данного домена и
информировать его владельца о попытках компрометации.
Например, добавление в зону домена example.com записей (для BIND 9.9.6 и более новых выпусков):
Код:
$ORIGIN example.com
. CAA 0 issue "letsencrypt.org"
. CAA 0 iodef "mailto:security@example.com"
или
Код:
. CAA 0 iodef "http://iodef.example.com/"
указывает на то, что сертификаты для example.com генерируются только
удостоверяющим центром Let's Encrypt (осуществляется проверка владельца
домена "letsencrypt.org"). В поле iodef задаётся метод оповещения о попытке
генерации сертификата. Поддерживается отправка уведомления на email или
информирование через запрос к web-сервису (RFC-6546).
При желании можно уточнить учётную запись под которой разрешено генерировать сертификаты:
Код:
. CAA 0 issue "letsencrypt.org; account=12345"
Кроме issue также поддерживается поле issuewild, через которое задаются
дополнительные ограничения выдачи сертификатов с маской, охватывающей группу хостов.
Допустимо указание нескольких записей issue, при использовании сертификатов от
нескольких удостоверяющих центров:
Код:
example.com. CAA 0 issue "symantec.com"
example.com. CAA 0 issue "pki.goog"
example.com. CAA 0 issue "digicert.com"
Проверить корректность создания записей CAA можно командой:
Код:
dig +short +noshort example.com CAA