Інструменти мережевої діагностики
Які CA можуть видавати сертифікати
DNS та записи
Пошук DNS Усі записи DNS для будь-якого домену Пошук запису A IPv4-адреси домену Пошук запису AAAA IPv6-адреси домену Пошук MX Поштові сервери домену Пошук NS Авторитетні сервери імен Пошук TXT Записи TXT, SPF, верифікація Пошук CNAME Записи канонічного імені (псевдонім) Пошук SOA Запис Start of Authority Пошук SRV Записи розташування сервісів Пошук CAA Які CA можуть видавати сертифікати Зворотний DNS (PTR) IP-адреса до імені хоста Перевірка DNSSEC Чи підписаний і валідований домен? Перевірка стану DNS Повний звіт про делегування та стан DNSДоставлюваність пошти
Перевірка SPF Перевірте свій запис Sender Policy Framework Перевірка DMARC Перевірте та оцініть свою політику DMARC Перевірка DKIM Знайдіть і перевірте свій відкритий ключ DKIM Перевірка чорних списків Перевірте IP за поштовими чорними списками (DNSBL) Тест SMTP Підключіться до поштового сервера та перевірте STARTTLS Перевірка MTA-STS Примусова політика TLS для вхідної пошти Перевірка BIMI Запис логотипа бренду для пошти Перевірка TLS-RPT Політика звітності SMTP TLSМережа та веб
Перевірка SSL-сертифіката Перевірте TLS-сертифікат сайту та термін дії Перевірка заголовків HTTP Перевірте заголовки відповіді, перенаправлення та безпеку Ping (TCP) Доступність і затримка через TCP Перевірка портів Які поширені порти відкритіДомен
Пошук WHOIS Реєстраційні дані для доменів, IP та ASNЗапис CAA (Certification Authority Authorization) дозволяє домену оголосити, які центри сертифікації можуть видавати для нього сертифікати. CA зобов’язані правилами CA/Browser Forum дотримуватися цих записів, тож вони знижують ризик хибної видачі — коли CA помилково видає сертифікат для вашого домену. CAA — це простий, потужний запобіжник для ваших TLS-сертифікатів.
Запис CAA називає дозволений центр сертифікації за його доменом. Перед видачею сумісний CA перевіряє записи CAA для вашого домену; якщо записи існують і жоден не перелічує цей CA, він має відмовити. Запис має три частини: прапор (flag), тег і значення. Поширені теги: issue (авторизує CA видавати стандартні сертифікати), issuewild (контролює конкретно wildcard-сертифікати) та iodef (URL чи mailto, куди CA повідомляють про порушення політики). Наприклад, issue "letsencrypt.org" дозволяє видавати лише Let's Encrypt.
IPeek перелічує записи CAA на домені, кожен із його тегом і значенням. Читайте теги issue, щоб побачити, які CA авторизовані — значення на кшталт "letsencrypt.org" чи "digicert.com" називає дозволений центр. Тег issuewild обмежує, хто може видавати wildcard-сертифікати. Значення issue ";" (крапка з комою) означає, що жодному CA не дозволено взагалі. Якщо домен не має записів CAA, видавати може будь-який публічний CA, що є дозвільним типовим станом. Перевірте, що перелічені CA відповідають постачальникам, яких ви справді використовуєте для сертифікатів.
Без CAA будь-який із десятків публічних центрів сертифікації може видати сертифікат для вашого домену, тож одного скомпрометованого чи обдуреного CA достатньо, щоб зловмисник отримав чинний сертифікат. CAA звужує цю поверхню атаки лише до CA, які ви називаєте. Оскільки CA/Browser Forum вимагає, щоб CA перевіряли CAA перед видачею, захист застосовується в усій галузі. Додайте тег iodef, і авторизовані CA зможуть повідомляти вас про спроби порушення політики, даючи раннє попередження про того, хто намагається отримати сертифікат, який не повинен.
Без запису CAA будь-якому публічно довіреному центру сертифікації дозволено видавати сертифікати для домену — це дозвільний типовий стан. Додавання записів CAA обмежує видачу лише переліченими вами CA. Якщо вам важливо, які центри можуть сертифікувати ваш домен, опублікуйте записи CAA; інакше видача залишається відкритою для всіх сумісних CA.
Це три стандартні теги CAA. issue авторизує названий CA видавати звичайні сертифікати, issuewild конкретно контролює видачу wildcard-сертифікатів, а iodef задає URL чи адресу mailto, куди CA повідомляють про спроби порушення політики. Використання issue плюс iodef і обмежує, хто може сертифікувати ваш домен, і сповіщає вас про порушення.
Так. За правилами CA/Browser Forum публічно довірені CA зобов’язані перевіряти записи CAA домену перед видачею й мають відмовити, якщо записи їх не авторизують. Це робить CAA примусовим контролем, а не порадою. Він не зупиняє вже виданий сертифікат, але блокує нову хибну видачу сумісними центрами.
Опублікуйте окремий запис CAA issue для кожного центру, який хочете дозволити. Наприклад, один запис із issue "letsencrypt.org" та інший із issue "digicert.com" авторизує обидва. CA перевіряють, чи якийсь запис називає їх, тож кілька записів issue просто розширюють набір дозволених центрів, водночас виключаючи всіх інших.
Так, саме для цього й існує тег issuewild. issuewild керує тим, хто може видавати wildcard-сертифікати (як-от *.example.com), перевизначаючи звичайний тег issue для wildcard. Ви можете дозволити CA видавати звичайні сертифікати, але обмежити чи заборонити wildcard, або навпаки, відповідно поєднуючи записи issue та issuewild.