Quali CA possono emettere certificati
DNS e record
Lookup DNS Tutti i record DNS per qualsiasi dominio Lookup record A Indirizzi IPv4 di un dominio Lookup record AAAA Indirizzi IPv6 di un dominio Lookup MX Server di posta di un dominio Lookup NS Name server autoritativi Lookup TXT Record TXT, SPF, verifica Lookup CNAME Record di nome canonico (alias) Lookup SOA Record Start of Authority Lookup SRV Record di localizzazione dei servizi Lookup CAA Quali CA possono emettere certificati DNS inverso (PTR) Da indirizzo IP a hostname Verifica DNSSEC Il dominio è firmato e validato? Diagnostica DNS Un report completo di delega e DNSRecapitabilità email
Verifica SPF Valida il tuo record Sender Policy Framework Verifica DMARC Esamina e valuta la tua policy DMARC Verifica DKIM Trova e valida la tua chiave pubblica DKIM Verifica blacklist Verifica un IP rispetto alle blocklist email (DNSBL) Test SMTP Connettiti a un server di posta e verifica STARTTLS Verifica MTA-STS Policy TLS forzata per la posta in entrata Verifica BIMI Record del logo del brand per l'email Verifica TLS-RPT Policy di reportistica SMTP TLSRete e web
Verifica certificato SSL Esamina il certificato TLS e la scadenza di un sito Verifica header HTTP Esamina header di risposta, redirect e sicurezza Ping (TCP) Raggiungibilità e latenza su TCP Verifica porte Quali porte comuni sono aperteDominio
Lookup WHOIS Dati di registrazione per domini, IP e ASNUn record CAA (Certification Authority Authorization) consente a un dominio di dichiarare quali certificate authority possono emettere certificati per esso. Le CA sono tenute dal CA/Browser Forum a rispettare questi record, quindi riducono il rischio di emissione errata — una CA che emette per sbaglio un certificato per il tuo dominio. CAA è una barriera di protezione semplice e potente per i tuoi certificati TLS.
Un record CAA nomina una certificate authority autorizzata tramite il suo dominio. Prima di emettere, una CA conforme controlla i record CAA del tuo dominio; se esistono record e nessuno elenca quella CA, deve rifiutare. Il record ha tre parti: un flag, un tag e un valore. I tag comuni sono issue (autorizza una CA a emettere certificati standard), issuewild (controlla specificamente i certificati wildcard) e iodef (un URL o mailto dove le CA segnalano le violazioni di policy). Ad esempio, issue "letsencrypt.org" permette solo a Let's Encrypt di emettere.
IPeek elenca i record CAA del dominio, ciascuno con il suo tag e valore. Leggi i tag issue per vedere quali CA sono autorizzate — un valore come "letsencrypt.org" o "digicert.com" nomina l'autorità consentita. Un tag issuewild limita chi può emettere certificati wildcard. Un valore issue di ";" (punto e virgola) significa che nessuna CA è autorizzata. Se il dominio non ha record CAA, qualsiasi CA pubblica può emettere, che è il comportamento predefinito permissivo. Verifica che le CA elencate corrispondano ai provider che usi effettivamente per i certificati.
Senza CAA, una qualsiasi delle decine di certificate authority pubbliche può emettere un certificato per il tuo dominio, quindi una singola CA compromessa o ingannata basta a un aggressore per ottenere un certificato valido. CAA restringe quella superficie di attacco alle sole CA che nomini. Poiché il CA/Browser Forum impone che le CA controllino il CAA prima di emettere, la protezione è applicata a livello di intero settore. Aggiungi il tag iodef e le CA autorizzate potranno avvisarti dei tentativi di violazione della policy, dandoti un allarme precoce su chi cerca di ottenere un certificato che non dovrebbe.
Senza un record CAA, qualsiasi certificate authority pubblicamente attendibile è autorizzata a emettere certificati per il dominio — il comportamento predefinito permissivo. Aggiungere record CAA limita l'emissione alle sole CA che elenchi. Se ti interessa quali autorità possono certificare il tuo dominio, pubblica record CAA; altrimenti l'emissione resta aperta a tutte le CA conformi.
Sono i tre tag CAA standard. issue autorizza una CA nominata a emettere certificati normali, issuewild controlla specificamente l'emissione di certificati wildcard, e iodef fornisce un URL o un indirizzo mailto dove le CA segnalano i tentativi di violazione della policy. Usare issue insieme a iodef limita chi può certificare il tuo dominio e ti avvisa delle violazioni.
Sì. Secondo le regole del CA/Browser Forum, le CA pubblicamente attendibili sono tenute a controllare i record CAA di un dominio prima di emettere e devono rifiutare se i record non le autorizzano. Questo rende CAA un controllo applicato anziché un suggerimento. Non blocca un certificato già emesso, ma impedisce nuove emissioni errate da parte delle autorità conformi.
Pubblica un record CAA issue separato per ogni autorità che vuoi consentire. Ad esempio, un record con issue "letsencrypt.org" e un altro con issue "digicert.com" autorizza entrambe. Le CA verificano se un qualsiasi record le nomina, quindi più record issue ampliano semplicemente l'insieme delle autorità consentite escludendo comunque tutte le altre.
Sì, è esattamente lo scopo del tag issuewild. issuewild governa chi può emettere certificati wildcard (come *.example.com), prevalendo sul tag issue semplice per i wildcard. Potresti consentire a una CA di emettere certificati normali ma limitare o vietare i wildcard, o viceversa, combinando opportunamente record issue e issuewild.