Certifikační autority musí před vystavením SSL certifikátu zkontrolovat, zda jsou v DNS pro každou doménu uvedenou v žádosti o SSL certifikát přítomné záznamy typu CAA (TYPE 257) a pokud ano, zda tyto záznamy dané certifikační autoritě nebrání ve vystavení SSL certifikátu.
Tip
Nastavení CAA záznamů není pro získání SSL certifikátu nezbytné. Pokud si tedy nejste jisti, jak s CAA záznamy pracovat, jednoduše je nepoužívejte a případné již existující CAA záznamy z DNS odeberte.
Jak na CAA u subdomén?
Certifikační autorita nejprve zjišťuje přítomnost CAA záznamů u všech subdomén (domén III. řádu, IV. a nižších řádů) uvedených v žádosti o SSL certifikát a pokud žádné nastavené nejsou, postupuje až k doméně II. řádu.
Například pro doménu IV. řádu client.secure.ssls.cz bude certifikační autorita zjišťovat přítomnost CAA záznamů v DNS v tomto pořadí:
client.secure.ssls.cz — status: NOERROR, CAA záznamy: žádné
↳ secure.ssls.cz — status: NOERROR, CAA záznamy: žádné
↳ ssls.cz — status: NOERROR, CAA záznamy: žádné nebo správné
↳ OK — SSL certifikát může být vystaven
K těmto systematickým krokům však dojde pouze pokud DNS server nevrátí žádné CAA záznamy, zatímco DNS v hlavičce vrátí status: NOERROR. Nastane-li situace, kdy DNS server nevrátí žádné CAA záznamy (což je jinak v pořádku), ale v hlavičce DNS odpovědi je zároveň například status: SERVFAIL či status: REFUSED, pak certifikační autorita bude považovat informaci o nepřítomnosti CAA záznamů za nespolehlivou a k vystavení SSL certifikátu nedojde, dokud nebude konfigurace DNS serveru opravena.
Mám nastavit CAA nebo TYPE257?
Pro BIND 9.9.6 a novější a Windows Server 2016 a novější použijte CAA, pro starší verze použijte kompatibilní záznam TYPE257 podle RFC 3597.
Hodnoty CAA záznamů podle certifikačních autorit
AlpiroSSL
CAA
example.com. CAA 0 issue "trust-provider.com"
RFC 3597
example.com. TYPE257 \# 18 000569737375657365637469676F2E636F6D
U starších SSL certifikátů s intermediate CA certifikátem AlpiroSSL Trust Provider nastavte hodnotu: digicert.com
Certum
Ověření CAA záznamů může u certifikátů značek Certum a SpaceSSL selhat, pokud je pro doménu nastaven CNAME záznam.
Včetně certifikátů:
CAA
example.com. CAA 0 issue "certum.pl"
RFC 3597
example.com. TYPE257 \# 16 0005697373756563657274756D2E706C
SECTIGO (dříve COMODO CA)
Včetně certifikátů:
- PositiveSSL
- InstantSSL
- EnterpriseSSL
CAA
example.com. CAA 0 issue "comodoca.com"
Certifikační autorita uznává hodnoty comodoca.com, sectigo.com a usertrust.com
RFC 3597
example.com. TYPE257 \# 19 00056973737565636F6D6F646F63612E636F6D
DigiCert
Včetně certifikátů:
- GeoTrust
- Thawte
- RapidSSL
- Symantec
CAA
example.com. CAA 0 issue "digicert.com"
RFC 3597
example.com. TYPE257 \# 19 0005697373756564696769636572742E636F6D
GlobalSign
Včetně certifikátů:
CAA
example.com. CAA 0 issue "globalsign.com"
RFC 3597
example.com. TYPE257 \# 21 00056973737565676C6F62616C7369676E2E636F6D
Přejděte na důvěryhodný SSL certifikát AlpiroSSL se silným až 256-bit šifrováním a ušetřete.
Chraňte svou reputaci a zajistěte maximální důvěryhodnost s TLS/SSL certifikátem s EV.
Porovnejte si všechny výhody i nevýhody nejžádanějších SSL certifikátů — bez obalu.
Skonsolidujte všechny své SSL certifikáty do jednoho multi-doménového SSL certifikátu!