CAA-poster og SSL-sikkerhet
Med CAA-poster kontrollerer du hvem som kan utstede SSL-sertifikater for .no-domenet ditt – et viktig sikkerhetslag mot uautoriserte sertifikater.
Når du besøker en nettside med https://, er forbindelsen kryptert med et SSL/TLS-sertifikat. Men hvem bestemmer hvem som har lov til å utstede et slikt sertifikat for domenet ditt? Svaret finnes i DNS – i en posttype som heter CAA (Certification Authority Authorization).
Hva gjør en CAA-post?
En CAA-post er en DNS-post som spesifiserer hvilke sertifiseringsinstanser (CA-er) som er autorisert til å utstede SSL/TLS-sertifikater for domenet ditt. Hvis en CA mottar en forespørsel om å utstede et sertifikat for eksempel.no, er den pålagt å sjekke om det finnes CAA-poster for domenet – og i så fall kun utstede sertifikat dersom den er nevnt.
CAA-poster er ikke nye, men de ble obligatoriske for alle CAer å respektere fra 2017, da nettleserorganisasjonen CA/Browser Forum vedtok kravet. I dag er alle akkrediterte CAer forpliktet til å sjekke CAA-poster før utstedelse.
Tenk på det slik: CAA-posten er en godkjenningsliste i DNS. Er en CA ikke på listen, skal den nekte å utstede sertifikat – uansett hvem som ber om det.
Hvorfor er CAA viktig for .no-domener?
Uten CAA-poster kan hvilken som helst akkreditert CA i verden utstede et sertifikat for domenet ditt dersom de lar seg lure av en ondsinnet aktør eller gjør en feil. Antallet akkrediterte CAer er stort, og historien har vist at CA-er iblant har utstedt sertifikater de ikke burde.
For .no-domener som representerer en virksomhet, er det god praksis å eksplisitt begrense hvem som kan utstede sertifikater. Det gir et ekstra sikkerhetslag uten at det koster noe og uten at det påvirker ytelsen.
Oppbygningen av en CAA-post
En CAA-post har tre deler: flagg, tag og verdi.
eksempel.no. 3600 IN CAA 0 issue "letsencrypt.org"
| Del | Eksempel | Forklaring |
|---|---|---|
| Flagg | 0 | Vanligvis 0; verdien 128 betyr at CA må forstå taggen |
| Tag | issue | Hva regelen gjelder (se nedenfor) |
| Verdi | "letsencrypt.org" | Domenenavnet til den autoriserte CA-en |
De tre standard-taggene
issue – Autoriserer en CA til å utstede vanlige sertifikater for domenet:
eksempel.no. IN CAA 0 issue "letsencrypt.org"
issuewild – Autoriserer en CA til å utstede jokertegnsertifikater (wildcard, *.eksempel.no). Wildcard-sertifikater krever en egen issuewild-post:
eksempel.no. IN CAA 0 issuewild "digicert.com"
iodef – En rapporterings-URL der CAer kan sende varsler om uautoriserte utstedelsesforespørsler:
eksempel.no. IN CAA 0 iodef "mailto:sikkerhet@eksempel.no"
Praktiske eksempler
Kun Let’s Encrypt
Mange .no-nettsider bruker Let’s Encrypt for gratis, automatiske sertifikater. For å begrense til kun Let’s Encrypt:
eksempel.no. IN CAA 0 issue "letsencrypt.org"
Let’s Encrypt for standard, DigiCert for wildcard
eksempel.no. IN CAA 0 issue "letsencrypt.org"
eksempel.no. IN CAA 0 issuewild "digicert.com"
Ingen CA autorisert (blokker all utstedelse)
Vil du midlertidig blokkere all sertifikatutstedelse for domenet, bruker du semikolon som verdi:
eksempel.no. IN CAA 0 issue ";"
Dette er nyttig for domener som ikke skal ha noen offentlig nettside og aldri trenger SSL-sertifikater.
Med varslingsadresse
eksempel.no. IN CAA 0 issue "letsencrypt.org"
eksempel.no. IN CAA 0 iodef "mailto:sikkerhet@eksempel.no"
Arv og subdomener
CAA-poster arves nedover i domenehierarkiet. Har du satt en CAA-post på eksempel.no, gjelder den automatisk for alle subdomener som www.eksempel.no og post.eksempel.no – med mindre du setter egne CAA-poster på subdomenet som overstyrer arven.
Dette gjør det enkelt å ha én sentral policy for hele domenet uten å sette poster på hvert eneste subdomene.
Slik legger du til CAA-poster i Vymo
- Logg inn og gå til DNS-innstillingene for domenet ditt
- Velg “Legg til post” og velg typen CAA
- Fyll inn Vert (
@for rotdomenet), Flagg (0), Tag (issue,issuewildelleriodef) og Verdi (CA-ens domene i anførselstegn) - Lagre og vent på propagering
Vil du bekrefte at CAA-postene er korrekt registrert, bruk:
dig eksempel.no CAA +short
Svaret bør liste alle CAA-postene du har lagt inn. Ser du ingenting, er enten ingen poster satt, eller propageringen er ikke fullført. Les mer om DNS-propagering hvis du er usikker på ventetiden.
Hva om CAA-posten er feil?
En feil CAA-post kan i verste fall hindre fornyelsen av et legitimt SSL-sertifikat. Hvis for eksempel en automasjonsprosess (som Certbot for Let’s Encrypt) kjøres, og CAA-posten ikke lenger inkluderer letsencrypt.org, vil utstedelsen feile og sertifikatet utløpe.
Sett derfor alltid CAA-postene i samsvar med hvilken CA som faktisk utsteder sertifikater for domenet ditt. Har du spørsmål om oppsettet, ta kontakt med Vymo .
Klar til å sikre domenet ditt?
Sjekk om navnet er ledig – live mot registeret, på .no, .com og flere.