Інструменти мережевої діагностики

Пошук CAA

Які CA можуть видавати сертифікати

esc
Ваш IP 8.8.8.8 або google.com

DNS та записи

Пошук DNS Усі записи DNS для будь-якого домену Пошук запису A IPv4-адреси домену Пошук запису AAAA IPv6-адреси домену Пошук MX Поштові сервери домену Пошук NS Авторитетні сервери імен Пошук TXT Записи TXT, SPF, верифікація Пошук CNAME Записи канонічного імені (псевдонім) Пошук SOA Запис Start of Authority Пошук SRV Записи розташування сервісів Пошук CAA Які CA можуть видавати сертифікати Зворотний DNS (PTR) IP-адреса до імені хоста Перевірка DNSSEC Чи підписаний і валідований домен? Перевірка стану DNS Повний звіт про делегування та стан DNS

Доставлюваність пошти

Перевірка SPF Перевірте свій запис Sender Policy Framework Перевірка DMARC Перевірте та оцініть свою політику DMARC Перевірка DKIM Знайдіть і перевірте свій відкритий ключ DKIM Перевірка чорних списків Перевірте IP за поштовими чорними списками (DNSBL) Тест SMTP Підключіться до поштового сервера та перевірте STARTTLS Перевірка MTA-STS Примусова політика TLS для вхідної пошти Перевірка BIMI Запис логотипа бренду для пошти Перевірка TLS-RPT Політика звітності SMTP TLS

Мережа та веб

Перевірка SSL-сертифіката Перевірте TLS-сертифікат сайту та термін дії Перевірка заголовків HTTP Перевірте заголовки відповіді, перенаправлення та безпеку Ping (TCP) Доступність і затримка через TCP Перевірка портів Які поширені порти відкриті

Домен

Пошук WHOIS Реєстраційні дані для доменів, IP та ASN

Що таке запис CAA?

Запис CAA (Certification Authority Authorization) дозволяє домену оголосити, які центри сертифікації можуть видавати для нього сертифікати. CA зобов’язані правилами CA/Browser Forum дотримуватися цих записів, тож вони знижують ризик хибної видачі — коли CA помилково видає сертифікат для вашого домену. CAA — це простий, потужний запобіжник для ваших TLS-сертифікатів.

Як працюють записи CAA

Запис CAA називає дозволений центр сертифікації за його доменом. Перед видачею сумісний CA перевіряє записи CAA для вашого домену; якщо записи існують і жоден не перелічує цей CA, він має відмовити. Запис має три частини: прапор (flag), тег і значення. Поширені теги: issue (авторизує CA видавати стандартні сертифікати), issuewild (контролює конкретно wildcard-сертифікати) та iodef (URL чи mailto, куди CA повідомляють про порушення політики). Наприклад, issue "letsencrypt.org" дозволяє видавати лише Let's Encrypt.

Як читати результати запиту CAA

IPeek перелічує записи CAA на домені, кожен із його тегом і значенням. Читайте теги issue, щоб побачити, які CA авторизовані — значення на кшталт "letsencrypt.org" чи "digicert.com" називає дозволений центр. Тег issuewild обмежує, хто може видавати wildcard-сертифікати. Значення issue ";" (крапка з комою) означає, що жодному CA не дозволено взагалі. Якщо домен не має записів CAA, видавати може будь-який публічний CA, що є дозвільним типовим станом. Перевірте, що перелічені CA відповідають постачальникам, яких ви справді використовуєте для сертифікатів.

Чому записи CAA покращують безпеку сертифікатів

Без CAA будь-який із десятків публічних центрів сертифікації може видати сертифікат для вашого домену, тож одного скомпрометованого чи обдуреного CA достатньо, щоб зловмисник отримав чинний сертифікат. CAA звужує цю поверхню атаки лише до CA, які ви називаєте. Оскільки CA/Browser Forum вимагає, щоб CA перевіряли CAA перед видачею, захист застосовується в усій галузі. Додайте тег iodef, і авторизовані CA зможуть повідомляти вас про спроби порушення політики, даючи раннє попередження про того, хто намагається отримати сертифікат, який не повинен.

Поширені запитання

Що відбувається, якщо в домену немає запису CAA?

Без запису CAA будь-якому публічно довіреному центру сертифікації дозволено видавати сертифікати для домену — це дозвільний типовий стан. Додавання записів CAA обмежує видачу лише переліченими вами CA. Якщо вам важливо, які центри можуть сертифікувати ваш домен, опублікуйте записи CAA; інакше видача залишається відкритою для всіх сумісних CA.

Що таке теги issue, issuewild та iodef?

Це три стандартні теги CAA. issue авторизує названий CA видавати звичайні сертифікати, issuewild конкретно контролює видачу wildcard-сертифікатів, а iodef задає URL чи адресу mailto, куди CA повідомляють про спроби порушення політики. Використання issue плюс iodef і обмежує, хто може сертифікувати ваш домен, і сповіщає вас про порушення.

Чи зобов’язані центри сертифікації дотримуватися записів CAA?

Так. За правилами CA/Browser Forum публічно довірені CA зобов’язані перевіряти записи CAA домену перед видачею й мають відмовити, якщо записи їх не авторизують. Це робить CAA примусовим контролем, а не порадою. Він не зупиняє вже виданий сертифікат, але блокує нову хибну видачу сумісними центрами.

Як дозволити більше одного центру сертифікації?

Опублікуйте окремий запис CAA issue для кожного центру, який хочете дозволити. Наприклад, один запис із issue "letsencrypt.org" та інший із issue "digicert.com" авторизує обидва. CA перевіряють, чи якийсь запис називає їх, тож кілька записів issue просто розширюють набір дозволених центрів, водночас виключаючи всіх інших.

Чи можуть записи CAA контролювати wildcard-сертифікати окремо?

Так, саме для цього й існує тег issuewild. issuewild керує тим, хто може видавати wildcard-сертифікати (як-от *.example.com), перевизначаючи звичайний тег issue для wildcard. Ви можете дозволити CA видавати звичайні сертифікати, але обмежити чи заборонити wildcard, або навпаки, відповідно поєднуючи записи issue та issuewild.

Пов'язані інструменти

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어