При подаче заявки на сертификат SSL/TLS многие владельцы доменов удивляются, когда их запрос отклоняется. Несмотря на то, что их DNS кажется правильным, а центр сертификации (CA) кажется надежным.

Во многих из этих случаев проблема вызвана записью CAA.

В этой статье объясняется что такое запись CAA, зачем она нужна, и как она напрямую влияет на выдачу сертификатов SSL, простыми словами, чтобы вы могли избежать распространенных ошибок.

Почему SSL-сертификат не выдается, даже если всё выглядит правильно?

Распространённые вопросы от владельцев доменов включают:

• "Мой запрос SSL постоянно отклоняется, в чем проблема?"

• "ЦА говорит, что мой DNS блокирует выдачу, но я ничего не менял."

• "Является ли запись CAA обязательной или опциональной?"

Вот ключевой момент, который нужно понять с самого начала:

Если в вашем домене есть запись CAA, которая не разрешает использовать текущий центр сертификации, SSL-сертификат не может быть выдан.

Это поведение не является опциональным. Оно регулируется отраслевыми правилами.

Что такое запись CAA?

CAA (Certification Authority Authorization) запись — это DNS-запись, которая указывает, какие центры сертификации имеют право выдавать SSL/TLS сертификаты для вашего домена.

Проще говоря:?запись CAA действует как белый список для выдачи SSL-сертификатов.

Только те центры сертификации, которые явно указаны в вашей записи CAA, имеют разрешение выдавать сертификаты для вашего домена.

Что произойдет, если не установить запись CAA?

Отсутствие записи CAA не автоматически не делает ваш сайт небезопасным.

Однако без записи CAA:

• Любой доверенный центр сертификации может выдать сертификат для вашего домена

• Это увеличивает риск неправильной выдачи сертификатов или несанкционированных сертификатов

• У вас меньше контроля над тем, кто может выдавать сертификаты от вашего имени

Из-за этих рисков центры сертификации теперь обязаны проверять записи CAA перед выдачей сертификатов.

Именно здесь возникает большинство недоразумений.

Наиболее частые сценарии ошибок

• Запись CAA существует, но не включает текущий центр сертификации

• issue установлена, но issuewild отсутствует для wildcard-сертификатов

• Поддомен наследует ограничительную запись CAA от родительского домена

• Владелец домена меняет провайдера сертификатов, но забывает обновить запись CAA

В результате сертификат технически запрещено выдавать.

Три основных типа тегов CAA

issue

Авторизует ЦС на выдачу обычных SSL-сертификатов для домена.

issuewild

Авторизует ЦС на выдачу wildcard-сертификатов (например, .example.com).

iodef

Указывает, куда отправлять отчеты о нарушениях, если выдан несанкционированный сертификат (опционально).

Когда следует использовать запись CAA, а когда это опционально?

Настоятельно рекомендуется

• Бизнес- и корпоративные сайты

• Сайты электронной торговли, платежные и системы входа

• Домены, которые зависят от определенного ЦС

Может быть опционально

• Тестовые или промежуточные среды

• Временные или экспериментальные проекты

• Сайты, где контроль источника сертификата не критичен

Ключевое здесь не в том, является ли CAA ?обязательным?, а в том, понимаете ли вы последствия.

Как правильно настроить записи CAA (без сбоев SSL)

Перед добавлением или изменением записи CAA убедитесь:

• Какой ЦС в настоящий момент выдает ваши сертификаты

• Используете ли вы wildcard-сертификаты

• Можете ли вы изменить ЦС в будущем

Неправильно настроенная запись CAA немедленно блокирует выдачу SSL-сертификата.

Зачем вообще существуют записи CAA

Записи CAA были введены для того, чтобы сделать выдачу сертификатов:

• Более прозрачной

• Более контролируемой владельцами доменов

• Менее подверженной случайной или злонамеренной неправильной выдаче

Они предназначены для повышения безопасности, а не для усложнения управления SSL.

Записи CAA предоставляют владельцам доменов контроль над тем, кто может выдавать SSL-сертификаты для их доменов.

При правильной настройке они повышают безопасность.

При неправильной настройке они являются частой причиной сбоев выдачи SSL.

Понимание записей CAA помогает избежать путаницы, задержек и ненужных обращений в поддержку.

Правильное управление DNS и SSL требует как технической ясности, так и соблюдения политики.

В качестве аккредитованного ICANN регистратора, Nicenic следует общепризнанным стандартам, чтобы помочь владельцам доменов уверенно управлять DNS, безопасностью и настройками, связанными с сертификатами.

Nicenic является надежным партнером для брендов, разработчиков, предпринимателей и бизнесов по всему миру.