Defaults.Exposed › Rettelser › CAA-records

Sådan retter du CAA-records

En CAA-record er en kort instruktion i dine domæneindstillinger, der navngiver hvilke certifikatvirksomheder der har tilladelse til at udstede 'lås'-sikkerhedscertifikatet til din hjemmeside. Med den aktiveret kan ingen anden virksomhed stille udstede et gyldigt certifikat i dit navn.

Det korte svar for din virksomhed: Uden en CAA-record kan næsten enhver af de hundredvis af certifikatvirksomheder verden over udstede et ægte, fuldt betroet lås-certifikat til dit domæne — og lade en svindler opsætte en fejlfri, fuldt 'sikker'-udseende klon af din side for at høste dine kunders logins og kortoplysninger, uden at nogen advarsel vises på skærmen.

Hvad dette kan koste dig

En svindler erhverver et ægte certifikat til en kopi af din side, så den viser den grønne lås og HTTPS — dine kunder ser intet galt, taster adgangskoder og kortnumre, og du finder det kun ud, når chargebacks og vrede opkald starter.
Dine kunder phishes via et pixel-perfekt look-alike af din loginside; konsekvenserne — refusioner, supportbyrde, omdømmeskade — lander på dit brand, selv om din rigtige side aldrig blev berørt.
Et prospects sikkerheds- eller indkøbsteam kører en hurtig tjek af dit domæne inden underskrift, ser ingen CAA-beskyttelse, og markerer dig stille som 'svag på det grundlæggende' — og sætter en aftale i fare over en indstilling der tager fem minutter at tilføje.
En af verdens certifikatvirksomheder kompromitteres (dette er sket gentagne gange — DigiNotar, Comodo, Symantec), og fordi du aldrig sagde, hvem der har tilladelse til at handle for dig, er dit domæne eksponeret for hvilken som helst der viser sig at være det svageste led.

Hvorfor det betyder noget. Lige nu er døren vidst åben: enhver certifikatvirksomhed på Jorden kan gå god for en side der hævder at være din, uanset om du nogensinde har haft med dem at gøre. En CAA-record låser den dør, så kun den udbyder du valgte kan udstede certifikater — det er det enkleste, billigste forsvar der eksisterer mod nogen der efterligner din virksomhed online.

CAA-records på klart dansk

Enhver sikker hjemmeside har et certifikat — det bag låsen i browseren og “https” foran din adresse. Disse certifikater uddeles af specialistvirksomheder kaldet certifikatmyndigheder (CA’er): navne som Let’s Encrypt, DigiCert, Sectigo, Google Trust Services. Når din browser ser et gyldigt certifikat, viser den låsen og siger til din kunde, at forbindelsen er ægte og sikker.

Her er den del, de fleste virksomhedsejere aldrig har fået at vide: som standard er hundredvis af disse certifikatmyndigheder verden over hver tilladt at udstede et certifikat til dit domæne — uanset om du nogensinde har hørt om dem eller ej. En CAA-record (Certification Authority Authorization) er en ét-linjes note du tilføjer til dit domænes DNS-indstillinger der siger: “kun disse udbydere har tilladelse til at udstede certifikater for mig.” Enhver legitim certifikatmyndighed er forpligtet af branchereglerne til at tjekke den note inden udstedelse — og at nægte, hvis de ikke er på din liste.

Det er forskellen på en ulåst hoveddør alle kan gå igennem, og en hvor kun de personer du har valgt, har en nøgle. Og det koster ingenting at tilføje.

Hvad dette kan koste dig

Risikoen en CAA-record lukker er overbevisende efterligning. Kan en svindler skaffe sig et rigtigt certifikat til en kopi af din side, forsvinder de sædvanlige advarselstegn — ingen defekt lås, ingen “ikke sikker”-banner, ingen certifikatfejl.

Den fejlfrie kopi. En svindler registrerer en look-alike-adresse, skaffer et ægte certifikat og opsætter en perfekt klon af din login- eller checkout-side — lås og det hele. Kunder taster adgangskoder og kortnumre som normalt. Det første du hører om det er en bølge af chargebacks, svindelrapporter og vrede opkald.
Phishing-kampagnen i dit navn. Angribere sender “bekræft venligst din konto”-e-mails der linker til deres certificerede klon af din side. Fordi siden ser fuldt sikker ud, falder flere for det. Oprydningen — notificering af kunder, refusioner, supporttimer, den akavet offentlige forklaring — lander på dig, selv om dine rigtige servere aldrig blev berørt.
Aftalen der staller på en tjekliste. Et større kundes sikkerheds- eller indkøbsteam scanner dit domæne inden underskrift. “Ingen CAA-record” dukker op som et rødt eller gult element ved siden af dit navn.
Fanget ud af nogens andens brud. En certifikatmyndighed du aldrig har haft med at gøre, bliver kompromitteret — dette er ikke hypotetisk; DigiNotar, Comodo og Symantec har alle haft alvorlige hændelser.
Wildcard-blindvinklen. Selv virksomheder der er omhyggelige med deres primære side, glemmer ofte subdomæner. Uden en issuewild-regel, skaffer en angriber der kan få et wildcard-certifikat, effektivt en nøgle til alle subdomæner du nogensinde vil have på én gang.

Hvad det faktisk er, og hvad “godt” ser ud som

En CAA-record bor i dit domænes DNS. Hver record har tre dele: et flag, et tag og en værdi. De tags der tæller er:

issue — navngiver en certifikatmyndighed der har tilladelse til at udstede normale certifikater til dit domæne.
issuewild — kontrollerer wildcard-certifikater. Bruger du ikke wildcards, er den anbefalede indstilling at blokere dem helt.
iodef — en valgfri kontaktadresse, hvor du underrettes, hvis en certifikatmyndighed afviser en anmodning på grund af din CAA-politik.

Hvad “godt” ser ud som: mindst én issue (eller issuewild)-record er til stede, der navngiver den/de udbyder(e) du faktisk bruger, med wildcards enten begrænset til en navngiven udbyder eller blokeret.

Påvirker dette min karakter? Ja. En manglende CAA-record er et scoret punkt og flagges ved medium alvorlighed.

Sådan fikser du det (gratis, ~5 minutter)

Overrækk dette afsnit til den der administrerer dit domæne eller din hjemmeside — fikset er gratis.

Trin 1 — Find ud af, hvilken certifikatmyndighed du faktisk bruger. Se dit nuværende certifikat i browseren (klik på låsen → certifikatdetaljer → “Udstedt af”) for at se, hvem der udstedte det. Gængse tilfælde:

Let’s Encrypt → letsencrypt.org
Cloudflare → letsencrypt.org, digicert.com, comodoca.com, pki.goog, og ssl.com
Google Workspace / Google Trust Services → pki.goog
DigiCert → digicert.com
Sectigo / Comodo → sectigo.com (og comodoca.com)

Trin 2 — Log ind hos din DNS-udbyder. Find DNS-records-sektionen og vælg at tilføje en ny record af typen CAA (nogle interfaces kalder det type 257).

Trin 3 — Tilføj en issue-record for hver udbyder du bruger. For Let’s Encrypt for eksempel:

eksempel.com.   CAA   0 issue "letsencrypt.org"

Trin 4 — Kontrollér wildcard-certifikater. Bruger du ikke wildcards, blokér dem direkte:

eksempel.com.   CAA   0 issuewild ";"

Trin 5 — (Anbefalet) Tilføj en notifikationsadresse:

eksempel.com.   CAA   0 iodef "mailto:[email protected]"

Trin 6 — Gem og verificér. Kør dig CAA eksempel.com og bekræft, at dine records vises. Dit eksisterende certifikat og alle fornyelser fortsætter med at fungere igennem — CAA styrer kun ny udstedelse.

Almindelige fejl

At liste den forkerte CA — eller glemme en. Bruger du mere end én udsteder, list dem alle. Er du i tvivl, list et par du stoler på snarere end for få.
At sætte issue men ignorere wildcards. Et domæne der begrænser normale certifikater men intet siger om wildcards, efterlader den mere kraftfulde wildcard-vej åben. Sæt altid issuewild også.
At lægge CAA på det forkerte navn. CAA læses af certifikatmyndigheden for det præcise navn der certificeres. At sætte det øverst på dit domæne (apexen, f.eks. eksempel.com) er det rigtige træk.
At antage, at din platform allerede har gjort det. Cloudflare, Google og Microsoft administrerer certifikater, men tilføjer ikke CAA-records for dig.
At behandle det som en-og-færdig uden overvågning. En DNS-migration, en registrar-ændring eller en “oprydning” af records kan stille fjerne din CAA-beskyttelse.

Det tekniske lag (overrækk dette til din IT-person)

CAA er defineret i RFC 8659 og håndhævet under CA/Browser Forum Baseline Requirements. Records tager formen <flag> <tag> <værdi>, med tags issue, issuewild og iodef.

En solid baseline på apexen:

eksempel.com.   CAA   0 issue "letsencrypt.org"
eksempel.com.   CAA   0 issuewild ";"
eksempel.com.   CAA   0 iodef "mailto:[email protected]"

;-værdien i issuewild betyder “ingen CA må udstede wildcards” — en eksplicit afvisning.
0-flagget er issuer-critical-flagget; 0 (ikke-kritisk) er korrekt til normal brug.
Flere udstedere: adskillige issue-records er tilladt og additive.
DNSSEC-parring: CAA siger til CA’er, hvem der må udstede; DNSSEC stopper CAA-svaret selv i at blive forfalsket undervejs. De er komplementære.

Konfigurer det hos din udbyder

Trin for trin hos populære udbydere:

FAQ

Jeg er ikke teknisk — kan jeg selv klare det?

Du behøver ikke forstå detaljerne, men fikset er en lille ændring inde i dit domænes DNS-indstillinger, så det er bedst overladt til den der administrerer din hjemmeside eller dit domæne. Send dem afsnittet 'Sådan fikser du det' nedenfor — det er en fem-minutters, gratis ændring. Vi opkræver kun betaling, hvis du vil have os til at holde øje med, at recorden forbliver på plads; selve fikset er altid gratis.

Bryder det at tilføje dette min hjemmeside eller mit certifikat?

Nej — så længe du lister den certifikatudbyder du faktisk bruger, fortsætter alt med at fungere præcis som før. En CAA-record rører ikke ved eller erstatter dit eksisterende certifikat; den styrer kun, hvem der har tilladelse til at oprette nye. Den ene måde at forårsage problemer på, er at lade din rigtige udbyder stå ude af listen, hvilket kan blokere din næste automatiske fornyelse — trinnene nedenfor er skrevet specifikt for at undgå det.

Hvis certifikater udstedes automatisk i dag, hvorfor har jeg stadig brug for dette?

Automatiske certifikater er fine og bekvemme — problemet er, at systemet er åbent for alle som standard, inklusive nogen der udgiver sig for at være dig. En CAA-record navngiver simpelthen, hvem der har lov, og forvandler en åben dør til en med din egen lås på. Det fungerer sideløbende med automatisk udstedelse, ikke imod den.

Påvirker dette min Google-rangering eller min karakter på denne rapport?

Det påvirker din sikkerhedskarakter her — en manglende CAA-record er et scoret punkt, markeret som et medium-alvorligheds-hul, fordi det efterlader en reel efterligningsvej åben. Det er ikke en direkte Google-rankingfaktor, men den efterligning og phishing det forhindrer, er præcis den slags hændelser der skader tillid og trafik. Uanset hvad er det en hurtig, gratis gevinst.

Hvad er forskellen på 'issue' og 'issuewild'?

En 'issue'-record kontrollerer normale certifikater til dit domæne og dets subdomæner. En 'issuewild'-record kontrollerer wildcard-certifikater — det enkelt certifikat der dækker hvert muligt subdomæne på én gang (som *.eksempel.com). Wildcards er mere kraftfulde og derfor risikable i de forkerte hænder, så det er god praksis at kontrollere dem separat.

Vi bruger Cloudflare / Google Workspace / Microsoft 365 — dækker det allerede dette?

Ikke automatisk. Disse platforme administrerer dine certifikater for dig, men medmindre du eksplicit har tilføjet CAA-records, fortæller dit domæne stadig verden 'enhver myndighed må udstede.' Den gode nyhed er, at fikset er den samme enkelt DNS-ændring på dem alle.