Defaults.Exposed › Διορθώσεις › Εγγραφές CAA

Πώς να διορθώσετε Εγγραφές CAA

Μια εγγραφή CAA είναι μια σύντομη οδηγία στις ρυθμίσεις domain σας που ονομάζει ποιες εταιρείες πιστοποιητικών επιτρέπεται να εκδίδουν το πιστοποιητικό ασφαλείας 'λουκέτο' για τον ιστότοπό σας. Με αυτό ενεργοποιημένο, καμία άλλη εταιρεία δεν μπορεί να δημιουργήσει αθόρυβα έγκυρο πιστοποιητικό στο όνομά σας.

Ουσία για την επιχείρησή σας: Χωρίς εγγραφή CAA, σχεδόν οποιαδήποτε από τις εκατοντάδες εταιρείες πιστοποιητικών παγκοσμίως μπορεί να εκδώσει γνήσιο, πλήρως αξιόπιστο πιστοποιητικό λουκέτο για το domain σας — επιτρέποντας σε απατεώνα να στήσει άψογο, πλήρως 'ασφαλές'-φαινόμενο κλώνο του ιστότοπού σας για να συλλέξει στοιχεία σύνδεσης και κάρτας των πελατών σας, χωρίς τίποτα στην οθόνη να τους προειδοποιεί.

Τι μπορεί να σας κοστίσει αυτό

Ένας απατεώνας αποκτά πραγματικό πιστοποιητικό για αντίγραφο του ιστότοπού σας, οπότε εμφανίζει πράσινο λουκέτο και HTTPS — οι πελάτες σας δεν βλέπουν τίποτα λάθος, πληκτρολογούν κωδικούς και αριθμούς κάρτας, και μαθαίνετε γι' αυτό μόνο όταν ξεκινούν τα chargebacks.
Οι πελάτες σας παγιδεύονται σε phishing μέσω αντιγράφου pixel-perfect της σελίδας σύνδεσής σας· οι επιπτώσεις — επιστροφές, αυξημένη υποστήριξη, βλάβη φήμης — πέφτουν στο brand σας.
Η ομάδα ασφαλείας ή προμηθειών υποψήφιου εκτελεί γρήγορο έλεγχο πριν υπογράψει, βλέπει καμία προστασία CAA, και σας σημειώνει αθόρυβα ως 'αδύνατος στα βασικά'.
Μια εταιρεία πιστοποιητικών παραβιαστεί, και επειδή δεν είπατε ποτέ ποιος επιτρέπεται να ενεργεί για εσάς, το domain σας εκτίθεται.

Γιατί έχει σημασία. Αυτή τη στιγμή η πόρτα είναι ορθάνοιχτη: οποιαδήποτε εταιρεία πιστοποιητικών στη Γη μπορεί να εγγυηθεί για έναν ιστότοπο που ισχυρίζεται ότι είναι δικός σας, είτε έχετε συναλλαχθεί ποτέ μαζί τους είτε όχι. Μια εγγραφή CAA κλειδώνει αυτή την πόρτα ώστε μόνο ο πάροχος που επιλέξατε να μπορεί να εκδίδει πιστοποιητικά.

Εγγραφές CAA, με απλά λόγια

Κάθε ασφαλής ιστότοπος έχει πιστοποιητικό — το πράγμα πίσω από το λουκέτο στο πρόγραμμα περιήγησης. Αυτά τα πιστοποιητικά εκδίδονται από εξειδικευμένες εταιρείες που ονομάζονται certificate authorities (CAs): ονόματα όπως Let’s Encrypt, DigiCert, Sectigo, Google Trust Services. Όταν το πρόγραμμα περιήγησης βλέπει έγκυρο πιστοποιητικό, εμφανίζει το λουκέτο.

Εδώ είναι το μέρος που οι περισσότεροι ιδιοκτήτες επιχειρήσεων δεν έχουν πληροφορηθεί ποτέ: από προεπιλογή, εκατοντάδες αυτές οι εταιρείες πιστοποιητικών παγκοσμίως επιτρέπεται να εκδίδουν πιστοποιητικό για το δικό σας domain — είτε έχετε ακούσει ποτέ γι’ αυτές είτε όχι. Μια εγγραφή CAA (Certification Authority Authorization) είναι μια μόνο γραμμή που προσθέτετε στις DNS ρυθμίσεις του domain σας που λέει, ουσιαστικά, «μόνο αυτοί οι πάροχοι επιτρέπεται να εκδίδουν πιστοποιητικά για εμένα.»

Τι μπορεί να σας κοστίσει

Το άψογο ψεύτικο. Ένας απατεώνας αποκτά γνήσιο πιστοποιητικό για αντίγραφο του ιστότοπού σας. Οι πελάτες εισάγουν κωδικούς και στοιχεία κάρτας κανονικά. Μαθαίνετε γι’ αυτό από chargebacks και οργισμένα τηλεφωνήματα.
Εκστρατεία phishing στο όνομά σας. Οι εισβολείς στέλνουν «επιβεβαιώστε τον λογαριασμό σας» emails με σύνδεσμο στον certificated κλώνο του ιστότοπού σας.
Η συμφωνία που σταματά σε λίστα ελέγχου. Η ομάδα ασφαλείας μεγαλύτερου πελάτη σαρώνει το domain σας πριν υπογράψει. «Καμία εγγραφή CAA» εμφανίζεται ως κόκκινο ή πορτοκαλί στοιχείο.
Παγιδευμένοι από παραβίαση κάποιου άλλου. Μια εταιρεία πιστοποιητικών με την οποία δεν έχετε συναλλαχθεί ποτέ παραβιάζεται. Επειδή δεν περιορίσατε ποτέ ποιος μπορεί να ενεργεί για εσάς, ο εισβολέας μπορεί να αποκτήσει έγκυρο πιστοποιητικό για το domain σας μέσω εκείνης της αδύνατης CA.

Τι είναι στην πραγματικότητα

Μια εγγραφή CAA βρίσκεται στο DNS του domain σας. Κάθε εγγραφή έχει τρία μέρη: μια σημαία, μια ετικέτα και μια τιμή. Οι ετικέτες που έχουν σημασία:

issue — ονομάζει certificate authority που επιτρέπεται να εκδίδει κανονικά πιστοποιητικά.
issuewild — ελέγχει wildcard πιστοποιητικά. Αν δεν χρησιμοποιείτε wildcards, η συνιστώμενη ρύθμιση τα μπλοκάρει εντελώς.
iodef — προαιρετική διεύθυνση επικοινωνίας όπου θα ειδοποιηθείτε αν μια CA αρνηθεί αίτηση λόγω της πολιτικής CAA σας.

Πώς να το διορθώσετε (δωρεάν, ~5 λεπτά)

Βήμα 1 — Μάθετε ποια certificate authority πραγματικά χρησιμοποιείτε. Κοινές περιπτώσεις:

Let’s Encrypt — χρησιμοποιείται από πολλούς hosts → letsencrypt.org
Cloudflare (αν εκδίδει το edge certificate σας) → letsencrypt.org, digicert.com, comodoca.com, pki.goog, και ssl.com
Google Workspace / Google Trust Services → pki.goog
DigiCert → digicert.com
Sectigo / Comodo → sectigo.com (και comodoca.com)

Αν δεν είστε σίγουροι, κοιτάξτε το τρέχον πιστοποιητικό στο πρόγραμμα περιήγησης (κλικ στο λουκέτο → λεπτομέρειες πιστοποιητικού → «Εκδόθηκε από»).

Βήμα 2 — Συνδεθείτε στον πάροχο DNS σας. Εκεί που βρίσκονται οι εγγραφές του domain σας — συνήθως τον registrar, web host ή Cloudflare. Προσθέστε νέα εγγραφή τύπου CAA.

Βήμα 3 — Προσθέστε εγγραφή issue για κάθε πάροχο που χρησιμοποιείτε. Για παράδειγμα για Let’s Encrypt:

example.com.   CAA   0 issue "letsencrypt.org"

Βήμα 4 — Ελέγξτε wildcard πιστοποιητικά. Αν δεν χρησιμοποιείτε wildcards, μπλοκάρετέ τα εντελώς:

example.com.   CAA   0 issuewild ";"

Βήμα 5 — (Συνιστάται) Προσθέστε διεύθυνση ειδοποίησης:

example.com.   CAA   0 iodef "mailto:[email protected]"

Βήμα 6 — Αποθηκεύστε και επαληθεύστε. Εκτελέστε dig CAA example.com ή χρησιμοποιήστε οποιοδήποτε ηλεκτρονικό εργαλείο αναζήτησης DNS. Το υπάρχον πιστοποιητικό και όλες οι ανανεώσεις εξακολουθούν να λειτουργούν — το CAA διέπει μόνο νέες εκδόσεις.

Συνηθισμένα λάθη

Αναγραφή λανθασμένης CA — ή παράλειψη μιας. Ο μεγαλύτερος πρακτικός κίνδυνος δεν είναι η ασφάλεια, είναι το να μπλοκάρετε τις δικές σας ανανεώσεις. Αν χρησιμοποιείτε περισσότερους από έναν εκδότες, αναφέρετε όλους.
Ορισμός issue αλλά αγνόηση wildcards. Πάντα ορίζετε και issuewild.
Υπόθεση ότι η πλατφόρμα σας το έκανε ήδη. Cloudflare, Google και Microsoft διαχειρίζονται πιστοποιητικά αλλά δεν προσθέτουν εγγραφές CAA για εσάς.
Αντιμετώπισή της ως «one-and-done» χωρίς παρακολούθηση. Μια μεταγενέστερη μετεγκατάσταση DNS, αλλαγή registrar ή «καθαρισμός» εγγραφών μπορεί αθόρυβα να αφαιρέσει την προστασία CAA.

Ρυθμίστε το στον πάροχό σας

Βήμα προς βήμα για δημοφιλείς παρόχους:

Συχνές Ερωτήσεις

Δεν είμαι τεχνικός — μπορώ να το χειριστώ μόνος μου;

Δεν χρειάζεται να καταλαβαίνετε λεπτομέρειες, αλλά η διόρθωση είναι μια μικρή αλλαγή μέσα στις DNS ρυθμίσεις του domain σας, οπότε καλύτερα να το αναθέσετε σε όποιον διαχειρίζεται τον ιστότοπο ή domain σας. Στείλτε τους την ενότητα 'Πώς να το διορθώσετε' παρακάτω — είναι μια πενταλέπτη, δωρεάν αλλαγή.

Θα σπάσει αυτό τον ιστότοπό μου ή το πιστοποιητικό μου;

Όχι — εφόσον αναφέρετε τον πάροχο πιστοποιητικού που πραγματικά χρησιμοποιείτε, όλα εξακολουθούν να λειτουργούν ακριβώς ως πριν. Μια εγγραφή CAA δεν αγγίζει ή αντικαθιστά το υπάρχον πιστοποιητικό σας· ρυθμίζει μόνο ποιος επιτρέπεται να δημιουργεί νέα.

Αν τα πιστοποιητικά εκδίδονται αυτόματα αυτές τις μέρες, γιατί χρειάζομαι ακόμα αυτό;

Τα αυτόματα πιστοποιητικά είναι εντάξει και βολικά — το πρόβλημα είναι ότι το σύστημα είναι ανοικτό σε όλους από προεπιλογή, συμπεριλαμβανομένου κάποιου που προσποιείται ότι είστε. Μια εγγραφή CAA απλώς ονομάζει ποιος επιτρέπεται, μετατρέποντας μια ανοικτή πόρτα σε μια με το δικό σας λουκέτο.

Επηρεάζει αυτό τη βαθμολογία Google ή τη βαθμολογία μου σε αυτή την έκθεση;

Επηρεάζει τη βαθμολογία ασφαλείας σας εδώ — μια ελλείπουσα εγγραφή CAA είναι βαθμολογούμενο στοιχείο, επισημαίνεται ως κενό μεσαίας σοβαρότητας, επειδή αφήνει ανοικτό ένα πραγματικό μονοπάτι πλαστοπροσωπίας. Δεν είναι άμεσος παράγοντας κατάταξης Google, αλλά η πλαστοπροσωπία και το phishing που εμποδίζει είναι ακριβώς τα είδη συμβάντων που κάνουν ζημιά στην εμπιστοσύνη και κίνηση.

Ποια είναι η διαφορά μεταξύ 'issue' και 'issuewild';

Μια εγγραφή 'issue' ελέγχει κανονικά πιστοποιητικά για το domain και τα subdomains σας. Μια εγγραφή 'issuewild' ελέγχει wildcard πιστοποιητικά — το ενιαίο πιστοποιητικό που καλύπτει κάθε δυνατό subdomain (όπως *.example.com). Τα wildcards είναι πιο ισχυρά και επομένως πιο επικίνδυνα σε λάθος χέρια, οπότε είναι καλή πρακτική να τα ελέγχετε χωριστά.

Χρησιμοποιούμε Cloudflare / Google Workspace / Microsoft 365 — καλύπτει αυτό ήδη;

Όχι αυτόματα. Αυτές οι πλατφόρμες διαχειρίζονται τα πιστοποιητικά για εσάς, αλλά εκτός αν έχετε ρητά προσθέσει εγγραφές CAA, το domain σας εξακολουθεί να λέει στον κόσμο 'οποιαδήποτε αρχή μπορεί να εκδίδει'. Τα καλά νέα είναι ότι η διόρθωση είναι η ίδια απλή αλλαγή DNS σε όλες.