Инструменты сетевой диагностики

Поиск CAA

Какие УЦ могут выпускать сертификаты

esc
Ваш IP 8.8.8.8 или google.com

DNS и записи

Поиск DNS Все записи DNS для любого домена Поиск записи A Адреса IPv4 для домена Поиск записи AAAA Адреса IPv6 для домена Поиск MX Почтовые серверы домена Поиск NS Авторитетные серверы имён Поиск TXT Записи TXT, SPF, верификация Поиск CNAME Записи канонического имени (псевдонима) Поиск SOA Запись Start of Authority Поиск SRV Записи расположения сервисов Поиск CAA Какие УЦ могут выпускать сертификаты Обратный DNS (PTR) IP-адрес в имя хоста Проверка DNSSEC Подписан ли домен и проходит ли валидацию? Проверка здоровья DNS Полный отчёт о делегировании и состоянии DNS

Доставляемость почты

Проверка SPF Проверьте вашу запись Sender Policy Framework Проверка DMARC Изучите и оцените вашу политику DMARC Проверка DKIM Найдите и проверьте ваш открытый ключ DKIM Проверка чёрных списков Проверьте IP по почтовым блок-листам (DNSBL) Тест SMTP Подключение к почтовому серверу и проверка STARTTLS Проверка MTA-STS Принудительная политика TLS для входящей почты Проверка BIMI Запись логотипа бренда для почты Проверка TLS-RPT Политика отчётности SMTP TLS

Сеть и веб

Проверка сертификата SSL Изучите сертификат TLS сайта и срок его действия Проверка HTTP-заголовков Изучите заголовки ответа, редиректы и безопасность Пинг (TCP) Доступность и задержка по TCP Проверка портов Какие распространённые порты открыты

Домен

Поиск WHOIS Регистрационные данные для доменов, IP и ASN

Что такое запись CAA?

Запись CAA (Certification Authority Authorization) позволяет домену объявить, какие удостоверяющие центры могут выпускать для него сертификаты. CA обязаны соблюдать эти записи по требованию CA/Browser Forum, так что они снижают риск ошибочного выпуска — когда CA неправомерно выпускает сертификат для вашего домена. CAA — это простой и мощный барьер для ваших TLS-сертификатов.

Как работают записи CAA

Запись CAA называет разрешённый удостоверяющий центр по его домену. Перед выпуском совместимый CA проверяет записи CAA вашего домена; если записи существуют и ни одна не перечисляет этот CA, он обязан отказать. Запись состоит из трёх частей: флага, тега и значения. Распространённые теги — issue (авторизует CA выпускать стандартные сертификаты), issuewild (контролирует именно wildcard-сертификаты) и iodef (URL или mailto, куда CA сообщают о нарушениях политики). Например, issue "letsencrypt.org" разрешает выпуск только Let's Encrypt.

Как читать результаты запроса CAA

IPeek перечисляет записи CAA на домене, каждую с её тегом и значением. Читайте теги issue, чтобы увидеть, какие CA авторизованы — значение вроде "letsencrypt.org" или "digicert.com" называет разрешённый центр. Тег issuewild ограничивает, кто может выпускать wildcard-сертификаты. Значение issue, равное ";" (точка с запятой), означает, что не авторизован ни один CA вообще. Если у домена нет записей CAA, выпускать может любой публичный CA — разрешительное поведение по умолчанию. Проверьте, что перечисленные CA соответствуют провайдерам, которых вы действительно используете для сертификатов.

Почему записи CAA повышают безопасность сертификатов

Без CAA любой из десятков публичных удостоверяющих центров может выпустить сертификат для вашего домена, так что одного скомпрометированного или обманутого CA достаточно, чтобы злоумышленник получил валидный сертификат. CAA сужает эту поверхность атаки только до тех CA, которые вы называете. Поскольку CA/Browser Forum предписывает CA проверять CAA перед выпуском, защита обеспечивается в масштабах всей отрасли. Добавьте тег iodef, и авторизованные CA смогут уведомлять вас о попытках нарушения политики, давая раннее предупреждение о том, что кто-то пытается получить сертификат, которого получать не должен.

Часто задаваемые вопросы

Что произойдёт, если у домена нет записи CAA?

При отсутствии записи CAA любой публично доверенный удостоверяющий центр вправе выпускать сертификаты для домена — разрешительное поведение по умолчанию. Добавление записей CAA ограничивает выпуск только перечисленными вами CA. Если вам важно, какие центры могут сертифицировать ваш домен, опубликуйте записи CAA; иначе выпуск остаётся открытым для всех совместимых CA.

Что такое теги issue, issuewild и iodef?

Это три стандартных тега CAA. issue авторизует названный CA выпускать обычные сертификаты, issuewild именно контролирует выпуск wildcard-сертификатов, а iodef задаёт URL или адрес mailto, куда CA сообщают о попытках нарушения политики. Использование issue вместе с iodef одновременно ограничивает, кто может сертифицировать ваш домен, и оповещает вас о нарушениях.

Обязаны ли удостоверяющие центры соблюдать записи CAA?

Да. По правилам CA/Browser Forum публично доверенные CA обязаны проверять записи CAA домена перед выпуском и должны отказать, если записи их не авторизуют. Это делает CAA обеспеченным контролем, а не рекомендацией. Это не отзывает уже выпущенный сертификат, но блокирует новый ошибочный выпуск совместимыми центрами.

Как разрешить больше одного удостоверяющего центра?

Опубликуйте отдельную запись CAA issue для каждого центра, который хотите разрешить. Например, одна запись с issue "letsencrypt.org" и другая с issue "digicert.com" авторизует оба. CA проверяют, называет ли их какая-либо запись, так что несколько записей issue просто расширяют набор разрешённых центров, по-прежнему исключая всех остальных.

Могут ли записи CAA отдельно контролировать wildcard-сертификаты?

Да, именно для этого нужен тег issuewild. issuewild управляет тем, кто может выпускать wildcard-сертификаты (вроде *.example.com), переопределяя обычный тег issue для wildcard. Вы можете разрешить CA выпускать обычные сертификаты, но ограничить или запретить wildcard, или наоборот, соответствующим образом сочетая записи issue и issuewild.

Связанные инструменты

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어