Perché il record CAA è importante per il tuo sito web

Il record CAA, acronimo di Certification Authority Authorization, è uno strumento che consente al titolare di un dominio di indicare nei propri domain name server quali Autorità di Certificazione (CA) sono autorizzate a emettere certificati TLS/ SSL per quel determinato dominio. 

Se una CA riceve un ordine per un certificato TLS/SSL per un dominio con un record CAA in cui tale CA non è elencata allora non potrà emettere il certificato TLS/SSL richiesto.

Uno dei vantaggi di Certification Authority Authorization è quello di integrare la Certificate Transparency (CT). Infatti, se da un lato  CT aiuta i proprietari dei domini a identificare i certificati rilasciati erroneamente o emessi di frequente per i loro domini, dall’altro CAA aiuta a prevenire l’emissione non autorizzata prima ancora che questa avvenga. Questi due strumenti congiuntamente garantiscono un migliore livello di sicurezza. 

CAA è anche utile per le organizzazioni che hanno standardizzato, vogliono standardizzare o limitare le CA che utilizzano. Prima di CAA, infatti, non esisteva un modo semplice per le organizzazioni di fare ciò, ma ora che tutte le CA devono controllare i record CAA, queste policy possono essere effettivamente applicate.

Mentre il controllo dei record CAA è obbligatorio per le autorità di certificazione, l’utilizzo di CAA è ancora facoltativo per i titolari dei domini.  

Le regole per le CA sono le seguenti:

• Nel caso in cui non è presente nessun record CAA la CA può emettere il certificato TLS/SSL.
• Se il record CAA include la CA, quest’ultima può emettere il certificato digitale;  
• al contrario, se la CA non è indicata nel record CAA, allora non può emettere il certificato digitale richiesto.

Certification Authority Authorization  supporta le seguenti proprietà:

• Issue: consente alle autorità di certificazione di emettere certificati (inclusi i certificati wildcard a meno che non siano limitati da Issuewild);
• Issuewild: si applica solo ai certificati TLS / SSL wildcard. Se utilizzi la questa proprietà tutte le voci “issue” vengono automaticamente ignorate.
• iodef: permette di fornire facoltativamente dati di contatto/URL alle CA per eventuali segnalazioni. 

Facciamo un esempio concreto per capire meglio il funzionamento di CAA . Ad esempio questo di seguito è il record CAA da aggiungere ai tuoi DNS nel caso tu voglia permettere a GlobalSign di emettere un certificato TLS/SSL per il tuo dominio   ilmiositodiesempio.com

CAA 0 issue “globalsign.com”

Ricorda, il controllo CAA inizia con il Fully Qualified Domain Name (FQDN) ed elabora fino al dominio di base, quindi durante la convalida del FQDN di www.us.ilmiositodiesempio.com, l’autortà di certificazione (CA) controllerà: www.us.ilmiositodiesempio.com, in seguito us.ilmiositodiesempio.com e infine ilmiositodiesempio.com.

Per istruzioni dettagliate su come aggiungere record CAA, inclusi i passaggi per un DNS ospitato, consulta questo utile articolo di supporto.

Presta la massima attenzione durante la creazione dei record CAA. Se hai altri reparti utilizzano i certificati, coordinarti con loro per assicurarti che tutte le CA in uso vengano aggiunte ai tuoi record CAA. Infatti, il controllo CAA è obbligatorio e può comportare il rifiuto degli ordini da parte di una CA. 

Come rapido controllo, potresti voler richiedere i certificati emessi per il tuo dominio  utilizzando https://crt.sh/ che restituirà un elenco delle CA emittenti per quel dominio.

Aggiorna in modo attento il tuo record CAA, eviterai così spiacevoli imprevisti e salvaguarderai efficacemente la sicurezza del tuo dominio.

Hai altre domande sulla configurazione del record CAA? Noi di Top SSL possiamo aiutarti, offrendo tutti gli strumenti, i servizi e i prodotti SSL innovativi per ridurre i rischi, rispondere alle minacce e controllare i costi relativi alla gestione dei certificati digitali. Non perdere tempo contattaci!