Defaults.Exposed › Ispravci › CAA zapisi

Kako popraviti CAA zapisi

CAA zapis je kratka uputa u postavkama vaše domene koja imenuje koje tvrtke za certifikate smiju izdati 'lokot' sigurnosni certifikat za vašu web stranicu. S njim uključenim, nijedna druga tvrtka ne može tiho izraditi valjani certifikat na vaše ime.

Zaključak za vaše poslovanje: Bez CAA zapisa, gotovo bilo koja od stotina tvrtki za certifikate diljem svijeta može izdati pravi, potpuno-pouzdani lokot certifikat za vašu domenu — omogućujući prevarantu da postavi savršenu, potpuno 'sigurnu'-izgledajuću kopiju vaše stranice za prikupljanje prijava i podataka kartica vaših klijenata, bez ikakvog upozorenja na ekranu.

Što vas ovo može koštati

• Prevarant dobiva pravi certifikat za kopiju vaše stranice, pa prikazuje zeleni lokot i HTTPS — vaši klijenti ne vide ništa pogrešno, upisuju lozinke i brojeve kartica, a vi saznate za to tek kad stignu povratne naplate i ljutiti pozivi.
• Vaši klijenti se phishaju kroz pixel-savršenu kopiju vaše prijave; posljedice — povrati, opterećenje podrške, reputacijska šteta — padaju na vaš brend iako vaša prava stranica nikad nije bila dodirnuta.
• Sigurnosni ili nabavni tim potencijalnog partnera brzo provjeri vašu domenu prije potpisa, vidi da nema CAA zaštite i tiho vas označi kao 'slabo s osnovama' — dovodeći dogovor u rizik zbog postavke koja traje pet minuta za dodati.
• Jedna od svjetskih tvrtki za certifikate bude kompromitirana (ovo se dogodilo više puta — DigiNotar, Comodo, Symantec), i jer nikad niste rekli tko smije djelovati za vas, vaša domena je izložena onoj koja se ispostavi najslabijim zetom u lancu.

Zašto je to važno. Trenutno su vrata širom otvorena: bilo koja tvrtka za certifikate na Zemlji može jamčiti za stranicu koja tvrdi da je vaša, bez obzira jeste li ikad s njima poslovali ili ne. CAA zapis zaključava ta vrata pa samo pružatelj kojeg ste odabrali može izdavati certifikate — to je najjednostavnija, najjeftinija obrana koja postoji od nekoga tko se predstavlja kao vaše poduzeće na internetu.

CAA zapisi, jednostavnim riječima

Svaka sigurna web stranica ima certifikat — stvar iza lokota u pregleniku i “https” ispred vaše adrese. Te certifikate dijele specijalizirane tvrtke zvane certification authorities (CAs): imena poput Let’s Encrypt, DigiCert, Sectigo, Google Trust Services. Kad preglednik vidi valjani certifikat, prikazuje lokot i govori vašem klijentu da je veza prava i sigurna.

Evo dijela kojeg većina vlasnika poduzeća nikad nije bila informirana: po zadanom, stotine ovih certification authorities diljem svijeta svaka smije izdati certifikat za vašu domenu — bez obzira jeste li ikad čuli za njih ili ne. CAA zapis (Certification Authority Authorization) je jednolinirajska bilješka koju dodajete DNS postavkama vaše domene koja kaže, u suštini, “samo ovi pružatelji smiju izdavati certifikate za mene.” Svaki legitimni certification authority je prema pravilima industrije obvezan provjeriti tu bilješku prije izdavanja — i odbiti ako nisu na vašem popisu.

To je razlika između nezaključanih ulaznih vrata kroz koja bilo tko može proći, i onih gdje samo osobe koje ste odabrali drže ključ. I ne košta ništa za dodati.

Što vas ovo može koštati

Rizik koji CAA zapis zatvara je uvjerljivo lažno predstavljanje. Kad prevarant može dobiti pravi certifikat za kopiju vaše stranice, uobičajeni znakovi upozorenja nestaju — nema slomljenog lokota, nema banera “nije sigurno”, nema greške certifikata. Sve izgleda ispravno, što je točno ono što ga čini opasnim.

• Savršena lažnjaka. Prevarant registrira adresu sličnu vašoj (ili kompromitira rutu do vaših klijenata), dobiva pravi certifikat i postavlja savršenu kopiju vaše prijave ili naplatne stranice — lokot i sve ostalo. Klijenti unose lozinke i brojeve kartica kao normalno. Prvo što čujete o tome je val povratnih naplata, izvještaja o prijevari i ljutitih telefonskih poziva.
• Phishing kampanja u vaše ime. Napadači šalju e-pošte “potvrdite svoj račun” koje vode na njihovu certificiranu kopiju vaše stranice. Budući stranica izgleda potpuno sigurna, više se ljudi nasjedne. Čišćenje — obavještavanje klijenata, povrati, sati podrške, neugodno javno objašnjenje — sve pada na vas, iako vaši pravi serveri nikad nisu bili dodirnuti.
• Dogovor koji stane na kontrolnom popisu. Sigurnosni ili nabavni tim većeg klijenta skenira vašu domenu prije potpisa. “Nema CAA zapisa” pojavi se kao crvena ili jantarna stavka pored vašeg naziva. Tehnički je mala stvar, ali čita se kao “ne pokriva osnove”, i može usporiti ili potopiti ugovor koji biste inače dobili.
• Uhvaćeni nečijim kršenjem. Certification authority s kojim nikad niste poslovali bude kompromitiran — ovo nije hipotetičko; DigiNotar, Comodo i Symantec su svi imali ozbiljne incidente. Jer nikad niste ograničili tko smije djelovati za vas, napadač može dobiti valjani certifikat za vašu domenu kroz tog slabog CA. CAA zapis bi ih odbio.
• Slijepa točka zamjenskog certifikata. Čak i poduzeća koja su pažljiva u pogledu svoje glavne stranice često zaboravljaju poddomene. Bez pravila issuewild, napadač koji može dobiti zamjenski certifikat efektivno dobiva ključ za svaku poddomenu koju ćete ikad imati odjednom.

Ništa od ovoga ne zahtijeva sofisticirani napad na vaše servere. Iskorištava činjenicu da je, bez CAA zapisa, širi sustav certifikata jednostavno previše povjerlji u vaše ime.

Što je to zapravo, i kako izgleda ‘dobro’

CAA zapis živi u DNS-u vaše domene — istim postavkama koje usmjeravaju vašu domenu na vašu web stranicu i e-poštu. Svaki zapis ima tri dijela: zastavicu, oznaku i vrijednost. Važne oznake su:

• issue — imenuje certification authority koji smije izdavati normalne certifikate za vašu domenu. Možete imati nekoliko, po jedan za svakog pružatelja kojeg legitimno koristite.
• issuewild — kontrolira zamjenske certifikate (jedan certifikat pokrivajući svaku poddomenu, npr. *.primjer.com). Ako ne koristite zamjenske, preporučena postavka ih potpuno blokira.
• iodef — neobavezna kontaktna adresa gdje ćete biti obaviješteni ako certification authority odbije zahtjev zbog vaše CAA politike. To je vaše rano upozorenje da je netko pokušao.

Kako izgleda ‘dobro’: prisutan je barem jedan zapis issue (ili issuewild), koji imenuje pružatelja/e koje zapravo koristite, s zamjenskim certifikatima ili ograničenim na imenovanog pružatelja ili blokiranim. To je ljestvica kojom mjeri ova provjera — traži vaše CAA zapise kroz nekoliko neovisnih razrješivača i prolazi kad pronađe pravu issue ili issuewild politiku na snazi. Domena bez ikakvog CAA zapisa tretira se kao otvorena vrata kakva jesu.

Utječe li ovo na moju ocjenu? Da. Nedostajući CAA zapis je bodovana stavka i označena je kao srednje ozbiljna — to je prava praznina, a ne samo lijepa za imati, jer ostavlja pravi put lažnog predstavljanja otvoren. Dodavanje zapisa zatvara prazninu i čisti nalaz.

Kako to popraviti (besplatno, ~5 minuta)

Proslijedite ovaj odjeljak onome tko upravlja vašom domenom ili web stranicom — popravak je besplatan. To je mala DNS promjena, a ne rekonfiguracija. Naplaćujemo samo ako kasnije želite da pratimo ostaje li zapis na mjestu; dodavanje ne košta ništa.

Korak 1 — Saznajte koji certification authority zapravo koristite. To je jedan korak koji vrijedi ispravno napraviti, jer navođenje pogrešnog pružatelja može blokirati vaše sljedeće obnavljanje. Uobičajeni slučajevi:

• Let’s Encrypt — koriste ga mnogi hostovi i kontrolne ploče (cPanel, Plesk) → letsencrypt.org
• Cloudflare (ako izdaje vaš rubni certifikat) → letsencrypt.org, digicert.com, comodoca.com, pki.goog i ssl.com (Cloudflare koristi više pozadinskih CA-ova; navedite one koje prikazuje njegova nadzorna ploča, ili cijeli set, da obnavljanja nikad ne propadnu)
• Google Workspace / Google Trust Services → pki.goog
• DigiCert → digicert.com
• Sectigo / Comodo → sectigo.com (i comodoca.com)
• Microsoft 365 / Azure — Microsoft obično koristi DigiCert za upravljane certifikate → digicert.com (potvrdite u vašem portalu)

Ako niste sigurni, pogledajte vaš trenutni certifikat u pregleniku (kliknite lokot → detalji certifikata → “Issued by”) da vidite tko ga je izdao.

Korak 2 — Prijavite se vašem DNS pružatelju. To je tamo gdje žive zapisi vaše domene — obično vaš registrar, vaš web host ili Cloudflare. Pronađite odjeljak DNS zapisa i odaberite dodavanje novog zapisa tipa CAA (neka sučelja ga označavaju tipom 257).

Korak 3 — Dodajte zapis issue za svakog pružatelja kojeg koristite. Za Let’s Encrypt, na primjer:

primjer.com.   CAA   0 issue "letsencrypt.org"

Dodajte jedan redak issue po legitimnom pružatelju. Većina DNS nadzornih ploča daje vam odvojena polja za zastavicu (0), oznaku (issue) i vrijednost (domenu CA) pa ne morate tipkati cijeli redak ručno.

Korak 4 — Kontrolirajte zamjenske certifikate. Ako ne koristite zamjenske, potpuno ih blokirajte pa nitko ne može tiho dobiti jedan:

primjer.com.   CAA   0 issuewild ";"

Ako koristite zamjenske, umjesto toga imenujte pružatelja: 0 issuewild "letsencrypt.org".

Korak 5 — (Preporučeno) Dodajte adresu za obavijest. Da budete obaviješteni kad god CA odbije pokušaj — vaše rano upozorenje da je netko pokušao:

primjer.com.   CAA   0 iodef "mailto:[email protected]"

Korak 6 — Pohranite i verificirajte. Pokrenite dig CAA primjer.com (ili koristite bilo koji online alat za DNS pretraživanje) i potvrdite da se vaši zapisi pojavljuju. Promjene mogu trajati bilo što od nekoliko minuta do nekoliko sati da se prošire internetom. Vaš postojeći certifikat i sva obnavljanja nastavljaju raditi u međuvremenu — CAA samo uređuje novo izdavanje.

Brze napomene o platformama: Na Cloudflare, DNS → Zapisi → Dodaj zapis → tip CAA. Na Google Workspace, DNS upravljate kod vašeg registrara (ili Cloud DNS ako ga koristite) — dodajte CAA zapise tamo s pki.goog. Na Microsoft 365, CAA se ne postavlja u M365 admin centru; dodajte ga gdje god je DNS vaše domene hostiran, navodeći CA vašeg upravljanog certifikata (obično DigiCert). Na uobičajenim hostovima (GoDaddy, Namecheap i sl.), to je u istom DNS panelu gdje žive vaši A i MX zapisi.

Česte greške

• Navođenje pogrešnog CA — ili zaboravljanje jednog. Najveći rizik u stvarnom životu nije sigurnost, već blokiranje vlastitih obnavljanja. Ako koristite više od jednog izdavatelja (npr. jedno za glavnu stranicu i drugo iza Cloudflarea), navedite ih sve. Kad sumnjate, navedite nekoliko kojima vjerujete umjesto premalo.
• Postavljanje issue ali ignoriranje zamjenskih. Domena koja ograničava normalne certifikate ali ne govori ništa o zamjenskim još uvijek ostavlja moćniji put zamjenskih otvoren. Uvijek postavite i issuewild — ili vašem pružatelju ili na ";" da ga blokirate.
• Postavljanje CAA na pogrešno ime. CAA čita certification authority za točno ime koje se certificira, hodajući gore stablom. Postavljanje na vrhu vaše domene (“apex”, npr. primjer.com) je ispravno — pokriva poddomene po zadanom osim ako poddomena ne postavi vlastiti.
• Pretpostavljanje da je vaša platforma već to napravila. Cloudflare, Google i Microsoft upravljaju certifikatima ali ne dodaju CAA zapise za vas. Osim ako ste ih dodali, vaša domena je još uvijek otvorena.
• Tretiranje kao jednom-i-gotovo bez praćenja. Kasnija DNS migracija, promjena registrara ili “uredno čišćenje” zapisa može tiho ispustiti vašu CAA zaštitu. Vrijedi provjeriti je li i dalje tamo nakon bilo koje DNS promjene.

Tehnički sloj (proslijedite vašoj IT osobi)

CAA je definiran u RFC 8659 i provediv prema CA/Browser Forum Baseline Requirements — svaki javno-pouzdani CA obvezan je provjeriti CAA u vrijeme izdavanja. Zapisi imaju oblik <zastavice> <oznaka> <vrijednost>, s oznakama issue, issuewild i iodef. Neprazna issue ili issuewild politika je ono što zadovoljava ovu provjeru; sama prisutnost iodef-a nije dovoljna (to je izvještavanje, ne autorizacija).

Solidna osnova na apexu:

primjer.com.   CAA   0 issue "letsencrypt.org"
primjer.com.   CAA   0 issuewild ";"
primjer.com.   CAA   0 iodef "mailto:[email protected]"

Napomene za implementatora:

• CAA penjanje stablom: CA-ovi procjenjuju CAA od traženog FQDN prema gore do apexa, zaustavljajući se na prvom imenu s postavljenim CAA zapisom. Zapis na apexu stoga štiti sve poddomene osim ako poddomena ne objavi vlastiti, što može — korisno ako specifična poddomena koristi drugog izdavatelja.
• Vrijednost ; u issuewild-u znači “nijedan CA ne smije izdavati zamjenske” — eksplicitno odbijanje. Koristite je kad zamjenski nisu dio vaše konfiguracije.
• Zastavica 0 je kritična zastavica izdavatelja; 0 (ne-kritično) je ispravno za normalnu upotrebu. Izbjegavajte postavljanje kritičnog bita osim ako ga potpuno razumijete, jer pogrešno shvaćena kritična oznaka može uzrokovati da sukladni CA-ovi odbiju izdavanje.
• Višestruki izdavatelji: nekoliko zapisa issue je dozvoljeno i aditivno — navedite svaki CA legitimno u vašem stacku (uključujući pozadinske CA-ove koje vaš CDN/rubni pružatelj koristi) da spriječite propast obnavljanja.
• Verifikacija: dig CAA primjer.com +short, ili provjera putem CA/Browser Forum CAA test alata. Ova provjera sama traži CAA kroz nekoliko neovisnih razrješivača (lokalni DNS, zatim Google, Cloudflare i Quad9 DNS-over-HTTPS kao rezerva) i prihvaća prvi autoritativni odgovor, pa jedan ispad razrješivača neće producirati lažni “nema CAA” rezultat.
• Uparivanje s DNSSEC: CAA govori CA-ovima tko smije izdavati; DNSSEC sprječava da se sam CAA odgovor krivotvorite u prijenosu. Komplementarni su — za domene visoke vrijednosti, pokrenite oboje.

Postavite kod svog pružatelja hostinga

Korak po korak za popularne pružatelje:

• Postavite CAA na GoDaddy
• Postavite CAA na Namecheap
• Postavite CAA na Cloudflare
• Postavite CAA na AWS Route 53

Česta pitanja