29.08.2017
Всем привет!
Мы добавили поддержку нового типа DNS-записи — CAA.
CAA (Certification Authority Authorization) — запись предназначена для определения центров сертификации, которым разрешен выпуск SSL/TLS-сертификатов для определенного доменного имени или субдомена.
Каждый центр сертификации, начиная с 8 сентября 2017 года будет обязан строго следовать инструкциям, указанным в CAA-записях доменного имени или субдомена для которого запрашивается выпуск сертификата.
Использование CAA-записи позволит повысить уровень безопасности в сети Интернет и сократить случаи неавторизованного получения сертификатов для сторонних доменных имен.
Для вашего удобства мы запустили онлайн-генератор CAA-записей, который поможет правильно сформировать необходимые CAA-записи для вашего доменного имени — caa.zilore.com.
Мы подготовили подробную инструкцию, которая разъясняет возможности CAA-записи и формат ее использования.
CAA <flags> <tag> <value>
Значение CAA-записи состоит из трех частей, разделенных пробелом:
Значение flag представляет собой 8-битное число, старший бит которого обозначает критичность понимания записи центром сертификации. В данный момент допустимы следующие значения:
0
Если значение tag не поддерживается или не распознается центром сертификации, то центру сертификации разрешено по своему усмотрению выпустить сертификат для доменного имени или субдомена.
128
Если значение tag не поддерживается или не распознается центром сертификации, то центр сертификации не должен выпускать сертификат для доменного имени или субдомена.
Значение tag может принимать одно из следующих значений:
issue
Определяет центр сертификации, которому разрешена выдача сертификата, для используемого в названии записи доменного имени или субдомена.
issuewild
Определяет центр сертификации, которому разрешена выдача wildcard-сертификата, для используемого в названии записи доменного имени или субдомена. Сертификат распространяется на доменное имя или субдомен непосредственно и на все его субдомены.
iodef
Определяет адрес электронной почты или URL (соответствующий стандарту RFC 5070), который центр сертификации должен использовать для уведомлений, в случае получения запроса на выпуск сертификата в нарушении определенных CAA-записью правил для доменного имени.
Значение value зависит от значения tag и должно быть заключено в двойные кавычки ("").
Некоторые центры сертификации позволяют использовать дополнительные параметры для значения value. В этом случае, параметры должны быть разделены точкой с запятой (;).
Пример: 0 issue "comodoca.com; account=12345"
В случае, если tag = issue
Доменное имя центра сертификации, которому разрешен выпуск сертификата для указанного в названии записи доменного имени или субдомена.
Пример: example.com. CAA 0 issue "comodoca.com"
Для запрета выпуска сертификата для всех центров сертификации для указанного в названии записи доменного имени или субдомена необходимо использовать точку с запятой (;) вместо доменного имени центра сертификации.
Пример: example.com. CAA 0 issue ";"
В случае, если tag = issuewild
Аналогично случаю, когда tag = issue, за исключением, что правило применяется для wildcard-сертификатов.
Пример: example.com. CAA 0 issuewild "comodoca.com"
Пример: example.com. CAA 0 issuewild ";"
В случае, если tag = iodef
Адрес электронной почты ("mailto:abuse@example.com") или URL ("http(s)://URL"), который центр сертификации должен использовать в случае получения неавторизованного запроса для выдачи сертификата для используемого в названии записи доменного имени или субдомена.
Пример: example.com. CAA 0 iodef "mailto:abuse@example.com"
dig zilore.com caa
Команда Zilore.