Ferramentas de Diagnóstico de Rede

Consulta CAA

Quais ACs podem emitir certificados

esc
Seu IP 8.8.8.8 ou google.com

DNS e Registros

Consulta DNS Todos os registros DNS de qualquer domínio Consulta de Registro A Endereços IPv4 de um domínio Consulta de Registro AAAA Endereços IPv6 de um domínio Consulta MX Servidores de e-mail de um domínio Consulta NS Servidores de nomes autoritativos Consulta TXT Registros TXT, SPF, verificação Consulta CNAME Registros de nome canônico (alias) Consulta SOA Registro Start of Authority Consulta SRV Registros de localização de serviço Consulta CAA Quais ACs podem emitir certificados DNS Reverso (PTR) Endereço IP para hostname Verificação DNSSEC O domínio está assinado e validado? Diagnóstico de DNS Um relatório completo de delegação e DNS

Entregabilidade de E-mail

Verificação SPF Valide seu registro Sender Policy Framework Verificação DMARC Inspecione e avalie sua política DMARC Verificação DKIM Encontre e valide sua chave pública DKIM Verificação de Blacklist Verifique um IP em listas de bloqueio de e-mail (DNSBLs) Teste SMTP Conecte-se a um servidor de e-mail e verifique o STARTTLS Verificação MTA-STS Política de TLS obrigatório para e-mail de entrada Verificação BIMI Registro de logotipo da marca para e-mail Verificação TLS-RPT Política de relatórios de TLS do SMTP

Rede e Web

Verificação de Certificado SSL Inspecione o certificado TLS e a validade de um site Verificação de Cabeçalhos HTTP Inspecione cabeçalhos de resposta, redirecionamentos e segurança Ping (TCP) Acessibilidade e latência por TCP Verificação de Portas Quais portas comuns estão abertas

Domínio

Consulta WHOIS Dados de registro de domínios, IPs e ASNs

O que é um registro CAA?

Um registro CAA (Certification Authority Authorization) permite que um domínio declare quais autoridades certificadoras podem emitir certificados para ele. As CAs são obrigadas pelo CA/Browser Forum a respeitar esses registros, então eles reduzem o risco de emissão indevida — uma CA emitir erroneamente um certificado para o seu domínio. O CAA é uma proteção simples e poderosa para seus certificados TLS.

Como funcionam os registros CAA

Um registro CAA nomeia uma autoridade certificadora permitida pelo seu domínio. Antes de emitir, uma CA em conformidade verifica os registros CAA do seu domínio; se existem registros e nenhum lista essa CA, ela deve recusar. O registro tem três partes: uma flag, uma tag e um valor. As tags comuns são issue (autoriza uma CA a emitir certificados padrão), issuewild (controla especificamente certificados curinga) e iodef (uma URL ou mailto onde as CAs reportam violações de política). Por exemplo, issue "letsencrypt.org" permite que apenas a Let's Encrypt emita.

Como interpretar os resultados da consulta CAA

O IPeek lista os registros CAA do domínio, cada um com sua tag e valor. Leia as tags issue para ver quais CAs estão autorizadas — um valor como "letsencrypt.org" ou "digicert.com" nomeia a autoridade permitida. Uma tag issuewild restringe quem pode emitir certificados curinga. Um valor de issue igual a ";" (ponto e vírgula) significa que nenhuma CA está autorizada. Se o domínio não tem registros CAA, qualquer CA pública pode emitir, que é o padrão permissivo. Verifique se as CAs listadas correspondem aos provedores que você de fato usa para certificados.

Por que os registros CAA melhoram a segurança dos certificados

Sem o CAA, qualquer uma das dezenas de autoridades certificadoras públicas pode emitir um certificado para o seu domínio, então uma única CA comprometida ou enganada já basta para um atacante obter um certificado válido. O CAA restringe essa superfície de ataque apenas às CAs que você nomeia. Como o CA/Browser Forum exige que as CAs verifiquem o CAA antes de emitir, a proteção é imposta em todo o setor. Adicione a tag iodef e as CAs autorizadas podem notificá-lo sobre tentativas de violação de política, dando um alerta precoce de que alguém está tentando obter um certificado que não deveria.

Perguntas frequentes

O que acontece se um domínio não tiver um registro CAA?

Sem um registro CAA, qualquer autoridade certificadora publicamente confiável pode emitir certificados para o domínio — o padrão permissivo. Adicionar registros CAA restringe a emissão apenas às CAs que você listar. Se você se importa com quais autoridades podem certificar seu domínio, publique registros CAA; caso contrário, a emissão permanece aberta a todas as CAs em conformidade.

O que são as tags issue, issuewild e iodef?

Essas são as três tags CAA padrão. issue autoriza uma CA nomeada a emitir certificados normais, issuewild controla especificamente a emissão de certificados curinga, e iodef fornece uma URL ou endereço mailto onde as CAs reportam tentativas de violação de política. Usar issue mais iodef restringe quem pode certificar seu domínio e alerta você sobre violações.

As autoridades certificadoras precisam obedecer aos registros CAA?

Sim. Pelas regras do CA/Browser Forum, as CAs publicamente confiáveis são obrigadas a verificar os registros CAA de um domínio antes de emitir e devem recusar se os registros não as autorizarem. Isso torna o CAA um controle imposto, e não uma sugestão. Ele não impede um certificado já emitido, mas bloqueia novas emissões indevidas por autoridades em conformidade.

Como permito mais de uma autoridade certificadora?

Publique um registro CAA issue separado para cada autoridade que você quer permitir. Por exemplo, um registro com issue "letsencrypt.org" e outro com issue "digicert.com" autoriza ambas. As CAs verificam se algum registro as nomeia, então vários registros issue simplesmente ampliam o conjunto de autoridades permitidas enquanto ainda excluem todas as outras.

Os registros CAA podem controlar certificados curinga separadamente?

Sim, é para isso que serve a tag issuewild. O issuewild controla quem pode emitir certificados curinga (como *.example.com), sobrescrevendo a tag issue simples para curingas. Você pode permitir que uma CA emita certificados normais mas restringir ou proibir curingas, ou vice-versa, combinando registros issue e issuewild de forma apropriada.

Ferramentas relacionadas

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어