Инструменты сетевой диагностики
Какие УЦ могут выпускать сертификаты
DNS и записи
Поиск DNS Все записи DNS для любого домена Поиск записи A Адреса IPv4 для домена Поиск записи AAAA Адреса IPv6 для домена Поиск MX Почтовые серверы домена Поиск NS Авторитетные серверы имён Поиск TXT Записи TXT, SPF, верификация Поиск CNAME Записи канонического имени (псевдонима) Поиск SOA Запись Start of Authority Поиск SRV Записи расположения сервисов Поиск CAA Какие УЦ могут выпускать сертификаты Обратный DNS (PTR) IP-адрес в имя хоста Проверка DNSSEC Подписан ли домен и проходит ли валидацию? Проверка здоровья DNS Полный отчёт о делегировании и состоянии DNSДоставляемость почты
Проверка SPF Проверьте вашу запись Sender Policy Framework Проверка DMARC Изучите и оцените вашу политику DMARC Проверка DKIM Найдите и проверьте ваш открытый ключ DKIM Проверка чёрных списков Проверьте IP по почтовым блок-листам (DNSBL) Тест SMTP Подключение к почтовому серверу и проверка STARTTLS Проверка MTA-STS Принудительная политика TLS для входящей почты Проверка BIMI Запись логотипа бренда для почты Проверка TLS-RPT Политика отчётности SMTP TLSСеть и веб
Проверка сертификата SSL Изучите сертификат TLS сайта и срок его действия Проверка HTTP-заголовков Изучите заголовки ответа, редиректы и безопасность Пинг (TCP) Доступность и задержка по TCP Проверка портов Какие распространённые порты открытыДомен
Поиск WHOIS Регистрационные данные для доменов, IP и ASNЗапись CAA (Certification Authority Authorization) позволяет домену объявить, какие удостоверяющие центры могут выпускать для него сертификаты. CA обязаны соблюдать эти записи по требованию CA/Browser Forum, так что они снижают риск ошибочного выпуска — когда CA неправомерно выпускает сертификат для вашего домена. CAA — это простой и мощный барьер для ваших TLS-сертификатов.
Запись CAA называет разрешённый удостоверяющий центр по его домену. Перед выпуском совместимый CA проверяет записи CAA вашего домена; если записи существуют и ни одна не перечисляет этот CA, он обязан отказать. Запись состоит из трёх частей: флага, тега и значения. Распространённые теги — issue (авторизует CA выпускать стандартные сертификаты), issuewild (контролирует именно wildcard-сертификаты) и iodef (URL или mailto, куда CA сообщают о нарушениях политики). Например, issue "letsencrypt.org" разрешает выпуск только Let's Encrypt.
IPeek перечисляет записи CAA на домене, каждую с её тегом и значением. Читайте теги issue, чтобы увидеть, какие CA авторизованы — значение вроде "letsencrypt.org" или "digicert.com" называет разрешённый центр. Тег issuewild ограничивает, кто может выпускать wildcard-сертификаты. Значение issue, равное ";" (точка с запятой), означает, что не авторизован ни один CA вообще. Если у домена нет записей CAA, выпускать может любой публичный CA — разрешительное поведение по умолчанию. Проверьте, что перечисленные CA соответствуют провайдерам, которых вы действительно используете для сертификатов.
Без CAA любой из десятков публичных удостоверяющих центров может выпустить сертификат для вашего домена, так что одного скомпрометированного или обманутого CA достаточно, чтобы злоумышленник получил валидный сертификат. CAA сужает эту поверхность атаки только до тех CA, которые вы называете. Поскольку CA/Browser Forum предписывает CA проверять CAA перед выпуском, защита обеспечивается в масштабах всей отрасли. Добавьте тег iodef, и авторизованные CA смогут уведомлять вас о попытках нарушения политики, давая раннее предупреждение о том, что кто-то пытается получить сертификат, которого получать не должен.
При отсутствии записи CAA любой публично доверенный удостоверяющий центр вправе выпускать сертификаты для домена — разрешительное поведение по умолчанию. Добавление записей CAA ограничивает выпуск только перечисленными вами CA. Если вам важно, какие центры могут сертифицировать ваш домен, опубликуйте записи CAA; иначе выпуск остаётся открытым для всех совместимых CA.
Это три стандартных тега CAA. issue авторизует названный CA выпускать обычные сертификаты, issuewild именно контролирует выпуск wildcard-сертификатов, а iodef задаёт URL или адрес mailto, куда CA сообщают о попытках нарушения политики. Использование issue вместе с iodef одновременно ограничивает, кто может сертифицировать ваш домен, и оповещает вас о нарушениях.
Да. По правилам CA/Browser Forum публично доверенные CA обязаны проверять записи CAA домена перед выпуском и должны отказать, если записи их не авторизуют. Это делает CAA обеспеченным контролем, а не рекомендацией. Это не отзывает уже выпущенный сертификат, но блокирует новый ошибочный выпуск совместимыми центрами.
Опубликуйте отдельную запись CAA issue для каждого центра, который хотите разрешить. Например, одна запись с issue "letsencrypt.org" и другая с issue "digicert.com" авторизует оба. CA проверяют, называет ли их какая-либо запись, так что несколько записей issue просто расширяют набор разрешённых центров, по-прежнему исключая всех остальных.
Да, именно для этого нужен тег issuewild. issuewild управляет тем, кто может выпускать wildcard-сертификаты (вроде *.example.com), переопределяя обычный тег issue для wildcard. Вы можете разрешить CA выпускать обычные сертификаты, но ограничить или запретить wildcard, или наоборот, соответствующим образом сочетая записи issue и issuewild.