DNS-запись CAA. Зачем нужна и как использовать?

[pixelcube]

Это работает только с DNSSEC?

[foggyfoxx]

Можно использовать и без DNSSEC. В RFC 6844 он носит рекомендательный характер.

[cooladmin]

Эта запись нужна центру сертификации для проверки того, что он (центр сертификатов) имеет права выпустить сертификат. К DNSSEC, это, кажется, вообще не имеет никакого отношения.

[Nappo]

Как будут реагировать браузеры если у сайта нет САА?

[cooladmin]

На момент моих изысканий на этот счёт, я не нашёл какой либо причины браузеру проверять эти записи. Ну то есть, эта запись нужна только УЦ и только в МОМЕНТ выпуска серта.

Браузер может её проверить, но в RFC не говорится, что ему делать в том случае если запись не нашлась, а серт валидный.

[foggyfoxx]

Эта запись только для центра сертификации. Браузер не взаимодействует с ней.

[cooladmin]

Кажется, я написал тоже самое =)

[alexxisr]

а какой в этом смысл? если кто-то захочет выпустить сертификат для домена, то он его выпустит не глядя на caa.
по-моему как раз браузер должен сравнивать — кто должен был выпустить и кто реально выпустил и при несовпадении считать сертификат невалидным.

[foggyfoxx]

А как вы его выпустите без участия центра сертификации?
Основная идея как раз в том, чтобы в итоге все центры сертификации проверяли САА в дополнении к существующим способам проверки (почта, веб-сайт, документы).

[ildarz]

если кто-то захочет выпустить сертификат для домена, то он его выпустит не глядя на caa.

Это механизм проверки для добросовестных УЦ, а не для злонамеренных.

по-моему как раз браузер должен сравнивать

Для браузеров предназначен другой тип записей — TLSA.

[tankistua]

Ну так не прокати уже фраза: мы не знали
за выдачу сертификата неавторизированным цс будет моментальный бан, а шутить после симантека и востгна вряд ли найдутся желающие

[mxms]

Вообще, DANE предназначен для верификации клиентским софтом. Если говорить о браузерах, то ни один из них его не поддерживает. Да и вообще с поддержкой DANE очень плохо.

[yurror]

Поправка. Нужна Вам и не только в момент легитимного выпуска сертификата. А для того чтобы злодеи не выпустили через другой CA левый сертификат.

[alexxisr]

если СА позволяет злодеям выпускать сертификат для чужого домена, то кто гарантирует, что он будет смотреть на какие-то записи в днс?
разве смысл существования СА не в том, чтобы проверить является ли проситель сертификата владельцем сертифицируемого ресурса?

[dewil]

Браузеру это не важно.
CAA только для выдачи сертификата.
Думаю в будущем расширят, и браузеры будут палить левые сертификаты.

[cooladmin]

Ну и сошлю на свою заметку на этот счёт, мало ли мой формат изложения кому-то зайдёт. telegra.ph/CHto-takoe-DNS-Certification-Authority-Authorization-08-10

[KrondorTheGreat]

Будут ли отозваны сертификаты, если центр сертификации пропадет из правил в CAA?

[foggyfoxx]

Нет, CAA-запись нужна и проверяется только в момент выдачи сертификата.

[ildarz]

Каждый центр сертификации, начиная с 8 сентября 2017 года будет обязан строго следовать инструкциям, указанным в CAA-записях доменного имени или субдомена для которого запрашивается выпуск сертификата.

Вовсе не каждый. Просто ассоциация крупнейших УЦ договорилась, что ее члены в обязательном порядке будут следовать стандарту, описанному в RFC 6844. Указанный RFC имеет статус Proposed standard, обязательным не является, и это решение не имеет никакой силы для УЦ, не входящих в эту ассоциацию.

[foggyfoxx]

Да, вы правы, внес корректировки в статью. Спсб.

[skymal4ik]

Есть информация, как это будет работать с Let's Encrypt?
Возможно, уже есть готовые примеры записей, разрешающие выпуск этих сертификатов для своих доменов?

[pixelcube]

Да, вот тоже интересует вопрос, как это работает с системами автоматический выдачи ACME, как, например, у Let's Encrypt? Там ведь проверка через TXT

[foggyfoxx]

Да, никакого противоречия нет, они будут сначала проверять наличие CAA-записей, а потом приступать к процедуре выдачи по ACME, если центру не разрешено выдать сертификат, он сообщит ошибкой urn:ietf:params:acme:error:caa

[foggyfoxx]

example.com. IN CAA 0 issue «letsencrypt.org»

[SirEdvin]

А как будет это работать в случае отсутствие CAA записей? Так же, как и прежде?

[foggyfoxx]

Да

[mureevms]

Cloudflare заявляет о поддержке, но при попытке добавить уже месяц выдает такое сообщение

CAA records are currently in beta. Please open a support ticket to request access to the beta. (Code: 1039)