Defaults.Exposed › Opravy › CAA záznamy

Jak opravit CAA záznamy

CAA záznam je krátká instrukce v nastavení vaší domény, která jmenuje, které certifikační firmy smí vydávat 'zámkový' bezpečnostní certifikát pro váš web. Pokud je zapnut, žádná jiná firma nemůže tiše vytvořit platný certifikát na vaše jméno.

Výsledek pro vaše podnikání: Bez CAA záznamu může téměř jakákoliv ze stovek certifikačních firem po celém světě vydat skutečný, plně důvěryhodný certifikát s visacím zámkem pro vaši doménu — umožňujíce podvodníkovi postavit dokonalý, plně 'bezpečný' klon vašeho webu ke sbírání přihlašovacích údajů a údajů o kartách vašich zákazníků, aniž by na jejich obrazovce bylo jakékoliv varování.

Co vás to může stát

Podvodník získá skutečný certifikát pro kopii vašeho webu, takže zobrazuje zelený zámek a HTTPS — vaši zákazníci nevidí nic špatného, zadají hesla a čísla karet a vy se to dozvíte jen z chargebacků a rozzlobených hovorů.
Vaši zákazníci jsou phishováni přes pixelově dokonalou imitaci vaší přihlašovací stránky; dopad — vrácení peněz, zátěž podpory, poškození pověsti — dopadá na vaši značku, přestože váš skutečný web nebyl nikdy dotčen.
Bezpečnostní nebo nákupní tým potenciálního zákazníka spustí rychlou kontrolu vaší domény před podpisem, neuvidí žádnou CAA ochranu a tiše vás označí jako 'slabé v základech' — ohrožujíce obchod kvůli nastavení, které trvá pět minut přidat.
Jedna z certifikačních firem světa je kompromitována (to se opakovaně stávalo — DigiNotar, Comodo, Symantec) a protože jste nikdy neřekli, kdo smí jednat za vás, je vaše doména vystavena té, která se ukáže být nejslabším článkem.

Proč na tom záleží. Právě teď jsou dveře dokořán otevřeny: jakákoliv certifikační firma na Zemi může ručit za web tvrdíce, že je váš, ať jste se s nimi někdy setkali nebo ne. CAA záznam tyto dveře zamkne, takže pouze poskytovatel, kterého jste si vybrali, může vydávat certifikáty — je to nejjednodušší, nejlevnější obrana, která existuje proti tomu, aby někdo vydával vaši firmu online.

CAA záznamy, prostými slovy

Každý bezpečný web má certifikát — věc za visacím zámkem v prohlížeči a “https” na začátku vaší adresy. Tyto certifikáty vydávají specializované firmy zvané certifikační autority (CA): jména jako Let’s Encrypt, DigiCert, Sectigo, Google Trust Services. Když prohlížeč uvidí platný certifikát, zobrazí zámek a řekne vašemu zákazníkovi, že připojení je pravé a bezpečné.

Zde je část, o které většina majitelů firem nikdy nebyla informována: ve výchozím nastavení může stovky těchto certifikačních autorit po celém světě každá vydat certifikát pro vaši doménu — ať jste o nich někdy slyšeli nebo ne. CAA záznam (Certification Authority Authorization) je jednořádková poznámka, kterou přidáte do nastavení DNS vaší domény a která říká v podstatě: “pouze tito poskytovatelé smí vydávat certifikáty pro mě.” Každá legitimní certifikační autorita je povinna pravidly odvětví tuto poznámku zkontrolovat před vydáním — a odmítnout, pokud nejsou na vašem seznamu.

Je to rozdíl mezi odemčenými předními dveřmi, kterými může projít kdokoliv, a takovými, kde drží klíč pouze lidé, které jste vybrali. A nestojí nic přidat.

Co vás to může stát

Riziko, které CAA záznam uzavírá, je přesvědčivé napodobování. Když podvodník může získat skutečný certifikát pro kopii vašeho webu, obvyklé varovné signály zmizí — není žádný rozbitý zámek, žádný banner “nezabezpečeno”, žádná chyba certifikátu. Vše vypadá správně, což je přesně to, co to dělá nebezpečným.

Dokonalý padělek. Podvodník zaregistruje adresu podobnou vaší (nebo kompromituje cestu k vašim zákazníkům), získá skutečný certifikát a postaví dokonalý klon vaší přihlašovací nebo pokladní stránky — se zámkem a vším. Zákazníci zadávají hesla a čísla karet normálně. První, co o tom slyšíte, je vlna chargebacků, hlášení o podvodu a rozzlobených telefonních hovorů.
Phishingová kampaň na vaše jméno. Útočníci posílají e-maily “prosím potvrďte svůj účet”, které odkazují na jejich certifikovaný klon vašeho webu. Protože stránka vypadá plně bezpečně, více lidí na to naletí. Úklid — oznamování zákazníkům, vrácení peněz, hodiny podpory, nepříjemné veřejné vysvětlení — vše dopadá na vás, přestože vaše skutečné servery nebyly nikdy dotčeny.
Obchod, který stagnuje na kontrolním seznamu. Bezpečnostní nebo nákupní tým většího zákazníka skenuje vaši doménu před podpisem. “Žádný CAA záznam” se zobrazí jako červená nebo oranžová položka vedle vašeho jména. Je to technicky malá věc, ale čte se jako “nezakrývá základy” a může zpomalit nebo potopení smlouvy, kterou byste jinak vyhráli.
Zasaženi narušením někoho jiného. Certifikační autorita, se kterou jste nikdy neobchodovali, je kompromitována — to není hypotetické; DigiNotar, Comodo a Symantec měli všichni vážné incidenty. Protože jste nikdy neomezili, kdo může jednat za vás, útočník může získat platný certifikát pro vaši doménu přes tu slabou CA. CAA záznam by jim odmítl.
Zástupná slepá skvrna. Dokonce podniky, které jsou ohledně svého hlavního webu opatrné, often zapomínají na subdomény. Bez pravidla issuewild může útočník, který získá zástupný certifikát, efektivně získat klíč ke každé subdoméně, jakou kdy budete mít najednou.

Žádný z těchto případů nevyžaduje sofistikovaný útok na vaše servery. Zneužívají skutečnost, že bez CAA záznamu je širší certifikační systém jednoduše příliš důvěřivý vaším jménem.

Co to skutečně je a jak ‘dobré’ vypadá

CAA záznam žije v DNS vaší domény — stejném nastavení, které směruje vaši doménu na váš web a e-mail. Každý záznam má tři části: příznak, tag a hodnotu. Tagy, které záleží, jsou:

issue — jmenuje certifikační autoritu oprávněnou vydávat normální certifikáty pro vaši doménu. Můžete mít jich několik, jeden pro každého poskytovatele, který legitimně používáte.
issuewild — kontroluje zástupné certifikáty (jeden certifikát pokrývající každou subdoménu, např. *.example.com). Pokud nepoužíváte zástupné certifikáty, doporučené nastavení je blokuje úplně.
iodef — volitelná kontaktní adresa, kde budete upozorněni, pokud certifikační autorita odmítne žádost kvůli vaší CAA politice. Toto je vaše předčasné varování, že někdo zkusil.

Jak vypadá ‘dobré’: alespoň jeden issue (nebo issuewild) záznam je přítomen, jmenující poskytovatele, které skutečně používáte, se zástupnými certifikáty buď omezenými na pojmenovaného poskytovatele nebo zablokovanými. To je laťka, kterou tato kontrola měří — vyhledá CAA záznamy vaší domény přes několik nezávislých resolvů a projde, když najde skutečnou issue nebo issuewild politiku. Doménu bez žádných CAA záznamů vůbec zachází jako s otevřenými dveřmi, které je.

Ovlivňuje to mé hodnocení? Ano. Chybějící CAA záznam je hodnocenou položkou a je označen jako střední závažnost — je to skutečná mezera, ne jen hezká věc k mít, protože ponechává skutečnou cestu k napodobování otevřenou. Přidání záznamu mezeru uzavře a nález vymaže.

Jak to opravit (zdarma, ~5 minut)

Předejte tuto část tomu, kdo spravuje vaši doménu nebo web — oprava je zdarma. Je to malá DNS změna, nikoli přestavba. Účtujeme pouze pokud byste chtěli, abychom průběžně sledovali, že záznam zůstane na místě; přidání nestojí nic.

Krok 1 — Zjistěte, kterou certifikační autoritu skutečně používáte. Toto je ten jeden krok, který stojí za správné provedení, protože uvedení špatného poskytovatele může zablokovat vaše příští obnovení. Běžné případy:

Let’s Encrypt — používán mnoha hostiteli a ovládacími panely (cPanel, Plesk) → letsencrypt.org
Cloudflare (pokud vydává váš edge certifikát) → letsencrypt.org, digicert.com, comodoca.com, pki.goog a ssl.com (Cloudflare používá více back-end CA; uveďte ty, které jeho nástěnka zobrazuje nebo celou sadu, aby se obnovení nikdy nepřerušilo)
Google Workspace / Google Trust Services → pki.goog
DigiCert → digicert.com
Sectigo / Comodo → sectigo.com (a comodoca.com)
Microsoft 365 / Azure — Microsoft obvykle používá DigiCert pro spravované certifikáty → digicert.com (potvrďte ve svém portálu)

Pokud si nejste jisti, podívejte se na svůj aktuální certifikát v prohlížeči (klikněte na zámek → podrobnosti certifikátu → “Vydáno kým”) a uvidíte, kdo ho vydal.

Krok 2 — Přihlaste se k poskytovateli DNS. Je to kdekoliv žijí záznamy vaší domény — obvykle váš registrátor, webový hostitel nebo Cloudflare. Najděte sekci DNS záznamů a rozhodněte se přidat nový záznam typu CAA (některá rozhraní ho označují typem 257).

Krok 3 — Přidejte issue záznam pro každého poskytovatele, který používáte. Pro Let’s Encrypt například:

example.com.   CAA   0 issue "letsencrypt.org"

Přidejte jeden řádek issue pro každého legitimního poskytovatele. Většina DNS nástěnek vám dává samostatná pole pro příznak (0), tag (issue) a hodnotu (doménu CA), takže celý řádek nemusíte psát ručně.

Krok 4 — Kontrolujte zástupné certifikáty. Pokud zástupné certifikáty nepoužíváte, zablokujte je úplně, aby je nikdo nemohl tiše získat:

example.com.   CAA   0 issuewild ";"

Pokud zástupné certifikáty používáte, jmenujte místo toho poskytovatele: 0 issuewild "letsencrypt.org".

Krok 5 — (Doporučeno) Přidejte adresu pro upozornění. Abyste byli informováni, kdykoliv CA odmítne pokus — vaše předčasné varování, že někdo zkusil:

example.com.   CAA   0 iodef "mailto:[email protected]"

Krok 6 — Uložte a ověřte. Spusťte dig CAA example.com (nebo použijte jakýkoliv online nástroj pro vyhledávání DNS) a potvrďte, že se vaše záznamy zobrazí. Změny se mohou šířit přes internet od pár minut do pár hodin. Váš stávající certifikát a veškerá obnovení fungují po celou dobu — CAA řídí pouze nové vydávání.

Rychlé poznámky k platformám: Na Cloudflare, DNS → Záznamy → Přidat záznam → typ CAA. Na Google Workspace, spravujete DNS u vašeho registrátora (nebo Cloud DNS pokud ho používáte) — přidejte CAA záznamy tam s pki.goog. Na Microsoft 365, CAA se nenastavuje v centru správy M365; přidejte ho kdekoliv je hostován DNS vaší domény, uvádějíce CA spravovaného certifikátu (obvykle DigiCert). Na běžných hostitelích (GoDaddy, Namecheap atd.), je to ve stejném DNS panelu kde žijí vaše A a MX záznamy.

Běžné chyby

Uvedení špatné CA — nebo zapomenutí na jednu. Největší reálné riziko není bezpečnostní, je to blokování vlastních obnovení. Pokud používáte více než jednoho vydavatele, uveďte je všechny. Při pochybnostech uveďte raději více důvěryhodných než příliš málo.
Nastavení issue ale ignorování zástupných certifikátů. Doména, která omezuje normální certifikáty ale neříká nic o zástupných, stále ponechává výkonnější cestu zástupných certifikátů otevřenou. Vždy nastavte i issuewild — buď na svého poskytovatele nebo ";" pro blokování.
Umístění CAA na špatný název. CAA je čten certifikační autoritou pro přesný název, který je certifikován, kráčejíc stromem nahoru. Nastavení ho na vrcholu vaší domény (apex, např. example.com) je správný krok — pokrývá subdomény ve výchozím nastavení, pokud subdoména nenastavuje vlastní.
Předpoklad, že vaše platforma to již udělala. Cloudflare, Google a Microsoft spravují certifikáty, ale nepřidávají za vás CAA záznamy. Pokud jste je nepřidali, vaše doména je stále otevřena.
Zacházení s tím jako jednorázovým bez monitorování. Pozdější migrace DNS, změna registrátora nebo “uklízení” záznamů může tiše odstranit vaši CAA ochranu. Stojí za to zkontrolovat, že je stále tam po jakékoliv DNS změně.

Nastavte u svého poskytovatele

Krok za krokem pro oblíbené poskytovatele:

Časté dotazy

Nejsem technik — mohu to vyřešit sám?

Nemusíte rozumět detailům, ale oprava je malá změna uvnitř nastavení DNS vaší domény, takže je nejlepší ji předat tomu, kdo spravuje váš web nebo doménu. Pošlete jim sekci 'Jak to opravit' níže — je to pětiminutová, bezplatná změna. Účtujeme pouze pokud byste chtěli, abychom záznam průběžně sledovali; samotná oprava je vždy zdarma.

Rozbije přidání tohoto můj web nebo certifikát?

Ne — pokud uvedete certifikačního poskytovatele, který skutečně používáte, vše funguje přesně jako předtím. CAA záznam se nedotýká vašeho stávajícího certifikátu ani ho nenahrazuje; řídí pouze, kdo smí vytvářet nové. Jediný způsob, jak způsobit problémy, je nechat skutečného poskytovatele mimo seznam, což může zablokovat vaše příští automatické obnovení — kroky níže jsou napsány speciálně, aby tomu předešly.

Pokud se dnes certifikáty vydávají automaticky, proč to stále potřebuji?

Automatické certifikáty jsou v pořádku a pohodlné — problém je, že systém je ve výchozím nastavení otevřen pro všechny, včetně někoho, kdo předstírá, že jste vy. CAA záznam jednoduše jmenuje, kdo smí, proměňujíce otevřené dveře v dveře s vaším vlastním zámkem. Funguje vedle automatického vydávání, nikoli proti němu.

Ovlivňuje to moje hodnocení Google nebo mé hodnocení v této zprávě?

Ovlivňuje vaše bezpečnostní hodnocení zde — chybějící CAA záznam je hodnocenou položkou, označenou jako mezera střední závažnosti, protože ponechává skutečnou cestu k napodobování otevřenou. Není to přímý faktor hodnocení Google, ale napodobování a phishing, kterému brání, jsou přesně druhy incidentů, které poškozují důvěru a provoz. Každopádně je to rychlá, bezplatná výhra.

Jaký je rozdíl mezi 'issue' a 'issuewild'?

Záznam 'issue' kontroluje normální certifikáty pro vaši doménu a její subdomény. Záznam 'issuewild' kontroluje zástupné certifikáty — jeden certifikát pokrývající každou možnou subdoménu najednou (jako *.example.com). Zástupné certifikáty jsou výkonnější a tedy rizikovější ve špatných rukou, takže je dobrou praxí je kontrolovat samostatně: pokud nepoužíváte zástupné certifikáty, zablokujte je úplně.

Používáme Cloudflare / Google Workspace / Microsoft 365 — pokrývá to to?

Nikoli automaticky. Tyto platformy spravují vaše certifikáty za vás, ale pokud jste explicitně nepřidali CAA záznamy, vaše doména stále říká světu 'jakákoliv autorita může vydávat.' Dobrou zprávou je, že oprava je stejná jednoduchá DNS změna na všech z nich a kde Cloudflare nebo váš hostitel vydává váš certifikát, jednoduše uvedete tohoto poskytovatele. Poznámky k platformě v sekci opravy níže pokrývají běžné případy.