Defaults.Exposed › Correzioni › Record CAA

Come correggere Record CAA

Un record CAA è una breve istruzione nelle impostazioni del tuo dominio che indica quali società di certificati sono autorizzate a emettere il certificato di sicurezza del «lucchetto» per il tuo sito. Con esso attivo, nessun'altra società può creare di nascosto un certificato valido a tuo nome.

In sintesi per la tua attività: Senza un record CAA, quasi una qualsiasi delle centinaia di società di certificati nel mondo può emettere un certificato del lucchetto autentico e pienamente affidabile per il tuo dominio, permettendo a un truffatore di tirare su un clone impeccabile e dall'aria del tutto «sicura» del tuo sito per raccogliere gli accessi e i dati delle carte dei tuoi clienti, senza nulla sullo schermo che li avverta.

Cosa può costarti

• Un truffatore ottiene un certificato vero per una copia del tuo sito, che così mostra il lucchetto verde e HTTPS: i tuoi clienti non vedono nulla di sbagliato, digitano password e numeri di carta, e tu lo scopri solo quando iniziano i chargeback e le telefonate di protesta.
• I tuoi clienti vengono colpiti da phishing tramite un sosia perfetto della tua pagina di accesso; le conseguenze — rimborsi, carico di assistenza, danno di reputazione — ricadono sul tuo marchio anche se il tuo sito reale non è mai stato toccato.
• Il team di sicurezza o acquisti di un potenziale cliente esegue un rapido controllo sul tuo dominio prima di firmare, non vede alcuna protezione CAA, e ti annota in silenzio come «debole sulle basi», mettendo a rischio una trattativa per un'impostazione che richiede cinque minuti.
• Una delle società di certificati al mondo viene compromessa (è successo ripetutamente — DigiNotar, Comodo, Symantec) e, poiché non hai mai detto chi è autorizzato ad agire per te, il tuo dominio è esposto a quella che si rivela l'anello più debole.

Perché è importante. In questo momento la porta è spalancata: qualsiasi società di certificati sulla Terra può garantire per un sito che afferma di essere il tuo, che tu abbia mai avuto a che fare con essa o no. Un record CAA chiude quella porta così che solo il fornitore che hai scelto possa emettere certificati: è la difesa più semplice ed economica che esista contro chi vuole impersonare la tua impresa online.

I record CAA, in parole semplici

Ogni sito sicuro ha un certificato — quello dietro il lucchetto nel browser e l’«https» davanti al tuo indirizzo. Quei certificati vengono rilasciati da aziende specializzate chiamate autorità di certificazione (CA): nomi come Let’s Encrypt, DigiCert, Sectigo, Google Trust Services. Quando il browser vede un certificato valido, mostra il lucchetto e dice al tuo cliente che la connessione è autentica e sicura.

Ecco la parte che alla maggior parte dei titolari non è mai stata detta: per impostazione predefinita, centinaia di queste autorità di certificazione nel mondo sono ciascuna autorizzata a emettere un certificato per il tuo dominio, che tu ne abbia mai sentito parlare o no. Un record CAA (Certification Authority Authorization) è una nota di una riga che aggiungi alle impostazioni DNS del tuo dominio e che dice, in sostanza, «solo questi fornitori sono autorizzati a emettere certificati per me». Ogni autorità di certificazione legittima è obbligata dalle regole del settore a controllare quella nota prima di emettere, e a rifiutare se non è nel tuo elenco.

È la differenza tra una porta d’ingresso sbloccata in cui chiunque può entrare e una di cui solo le persone che hai scelto hanno la chiave. E aggiungerlo non costa nulla.

Quanto può costarti

Il rischio che un record CAA chiude è l’impersonazione convincente. Quando un truffatore può ottenere un certificato vero per una copia del tuo sito, i soliti segnali d’allarme spariscono: niente lucchetto rotto, niente avviso «non sicuro», niente errore di certificato. Tutto sembra a posto, ed è proprio questo che lo rende pericoloso.

• Il falso impeccabile. Un truffatore registra un indirizzo simile (o compromette una via verso i tuoi clienti), ottiene un certificato autentico e tira su un clone perfetto della tua pagina di accesso o di checkout — lucchetto compreso. I clienti inseriscono password e numeri di carta come al solito. La prima cosa che ne senti è un’ondata di chargeback, segnalazioni di frode e telefonate di protesta.
• La campagna di phishing a tuo nome. Gli aggressori inviano email del tipo «conferma il tuo account» che rimandano al loro clone certificato del tuo sito. Poiché la pagina sembra del tutto sicura, ci cascano più persone. La pulizia — avvisare i clienti, i rimborsi, le ore di assistenza, l’imbarazzante spiegazione pubblica — ricade tutta su di te, anche se i tuoi server reali non sono mai stati toccati.
• La trattativa che si blocca su una checklist. Il team di sicurezza o acquisti di un cliente più grande scansiona il tuo dominio prima di firmare. «Nessun record CAA» compare come elemento rosso o arancione accanto al tuo nome. Tecnicamente è una piccolezza, ma viene letta come «non cura le basi», e può rallentare o far affondare un contratto che altrimenti avresti vinto.
• Colto in fallo dalla violazione di un altro. Un’autorità di certificazione con cui non hai mai avuto a che fare viene compromessa — non è ipotetico; DigiNotar, Comodo e Symantec hanno avuto tutte incidenti gravi. Poiché non hai mai limitato chi poteva agire per te, l’aggressore può ottenere un certificato valido per il tuo dominio tramite quella CA debole. Un record CAA glielo avrebbe rifiutato.
• Il punto cieco dei wildcard. Anche le imprese attente al loro sito principale spesso dimenticano i sottodomini. Senza una regola issuewild, un aggressore che riesce a ottenere un certificato wildcard ottiene di fatto in un colpo solo una chiave per ogni sottodominio che avrai mai.

Nessuno di questi richiede un attacco sofisticato ai tuoi server. Sfruttano il fatto che, senza un record CAA, il sistema dei certificati nel suo complesso è semplicemente troppo fiducioso per conto tuo.

Cos’è davvero, e come si presenta una configurazione corretta

Un record CAA vive nel DNS del tuo dominio — le stesse impostazioni che puntano il tuo dominio verso il sito e l’email. Ogni record ha tre parti: un flag, un tag e un valore. I tag che contano sono:

• issue — nomina un’autorità di certificazione autorizzata a emettere certificati normali per il tuo dominio. Puoi averne diversi, uno per ogni fornitore che usi legittimamente.
• issuewild — controlla i certificati wildcard (un certificato che copre ogni sottodominio, es. *.example.com). Se non usi i wildcard, l’impostazione consigliata li blocca del tutto.
• iodef — un indirizzo di contatto facoltativo a cui sarai avvisato se un’autorità di certificazione rifiuta una richiesta a causa della tua policy CAA. È il tuo preavviso che qualcuno ci ha provato.

Come si presenta una configurazione corretta: è presente almeno un record issue (o issuewild), che nomina i fornitori che usi davvero, con i wildcard limitati a un fornitore indicato per nome oppure bloccati. È questa l’asticella che misura questo controllo: cerca i record CAA del tuo dominio su più resolver indipendenti e supera quando trova in atto una vera policy issue o issuewild. Un dominio senza alcun record CAA è trattato come la porta aperta che è.

Questo influisce sul mio voto? Sì. Un record CAA mancante è un elemento a punteggio ed è segnalato a gravità media — è una falla autentica, non un semplice di più, perché lascia aperta una reale via di impersonazione. Aggiungere il record chiude la falla e azzera il rilievo.

Come correggerlo (gratis, circa 5 minuti)

Passa questa sezione a chi gestisce il tuo dominio o sito: la correzione è gratuita. È una piccola modifica DNS, non una ricostruzione. Ti facciamo pagare solo se in seguito vuoi che continuiamo a verificare che il record resti in atto; aggiungerlo non costa nulla.

Passo 1 — Scopri quale autorità di certificazione usi davvero. È l’unico passo su cui vale la pena fare attenzione, perché elencare il fornitore sbagliato può bloccare il tuo prossimo rinnovo. Casi comuni:

• Let’s Encrypt — usato da molti host e pannelli di controllo (cPanel, Plesk) → letsencrypt.org
• Cloudflare (se emette il tuo certificato di edge) → letsencrypt.org, digicert.com, comodoca.com, pki.goog e ssl.com (Cloudflare usa più CA di back-end; elenca quelle che mostra la sua dashboard, o l’insieme completo, così i rinnovi non si rompono mai)
• Google Workspace / Google Trust Services → pki.goog
• DigiCert → digicert.com
• Sectigo / Comodo → sectigo.com (e comodoca.com)
• Microsoft 365 / Azure — Microsoft di solito usa DigiCert per i certificati gestiti → digicert.com (conferma nel tuo portale)

Se hai dubbi, guarda il tuo certificato attuale nel browser (clic sul lucchetto → dettagli certificato → «Rilasciato da») per vedere chi l’ha emesso.

Passo 2 — Accedi al tuo provider DNS. È dove vivono i record del tuo dominio — di solito il tuo registrar, il tuo host web o Cloudflare. Trova la sezione dei record DNS e scegli di aggiungere un nuovo record di tipo CAA (alcune interfacce lo etichettano come tipo 257).

Passo 3 — Aggiungi un record issue per ogni fornitore che usi. Per Let’s Encrypt, per esempio:

example.com.   CAA   0 issue "letsencrypt.org"

Aggiungi una riga issue per ogni fornitore legittimo. La maggior parte delle dashboard DNS ti dà caselle separate per il flag (0), il tag (issue) e il valore (il dominio della CA) così non devi digitare l’intera riga a mano.

Passo 4 — Controlla i certificati wildcard. Se non usi i wildcard, bloccali del tutto così nessuno può ottenerne uno di nascosto:

example.com.   CAA   0 issuewild ";"

Se usi i wildcard, nomina invece il fornitore: 0 issuewild "letsencrypt.org".

Passo 5 — (Consigliato) Aggiungi un indirizzo di notifica. Così vieni avvisato ogni volta che una CA rifiuta un tentativo — il tuo preavviso che qualcuno ci ha provato:

example.com.   CAA   0 iodef "mailto:[email protected]"

Passo 6 — Salva e verifica. Esegui dig CAA example.com (o usa un qualsiasi strumento online di lookup DNS) e conferma che i tuoi record compaiano. Le modifiche possono richiedere da pochi minuti a poche ore per diffondersi in internet. Il tuo certificato esistente e tutti i rinnovi continuano a funzionare per tutto il tempo: il CAA governa solo le emissioni nuove.

Note rapide per piattaforma: su Cloudflare, DNS → Records → Add record → tipo CAA. Su Google Workspace, gestisci il DNS presso il tuo registrar (o Cloud DNS se lo usi) — aggiungi lì i record CAA con pki.goog. Su Microsoft 365, il CAA non si imposta nel centro amministrativo M365; aggiungilo dove è ospitato il DNS del tuo dominio, elencando la CA del tuo certificato gestito (comunemente DigiCert). Su host comuni (GoDaddy, Namecheap e simili), è nello stesso pannello DNS dove vivono i tuoi record A e MX.

Errori comuni

• Elencare la CA sbagliata, o dimenticarne una. Il rischio reale più grande non è la sicurezza, è bloccare i tuoi stessi rinnovi. Se usi più di un emittente (es. uno per il sito principale e un altro dietro Cloudflare), elencali tutti. Nel dubbio, elencane qualcuno di cui ti fidi piuttosto che troppo pochi.
• Impostare issue ignorando i wildcard. Un dominio che limita i certificati normali ma non dice nulla sui wildcard lascia comunque aperta la via wildcard più potente. Imposta sempre anche issuewild — o sul tuo fornitore o su ";" per bloccarlo.
• Mettere il CAA sul nome sbagliato. Il CAA viene letto dall’autorità di certificazione per il nome esatto che si sta certificando, risalendo l’albero. Impostarlo all’apice del tuo dominio (l’«apex», es. example.com) è la mossa giusta: copre i sottodomini per impostazione predefinita, a meno che un sottodominio non imposti il proprio.
• Dare per scontato che la tua piattaforma l’abbia già fatto. Cloudflare, Google e Microsoft gestiscono i certificati ma non aggiungono record CAA al posto tuo. A meno che tu non li abbia aggiunti, il tuo dominio è ancora aperto.
• Trattarlo come «fatto una volta e basta» senza monitoraggio. Una successiva migrazione DNS, un cambio di registrar o un «riordino» dei record può far cadere in silenzio la tua protezione CAA. Vale la pena verificare che ci sia ancora dopo ogni modifica DNS.

Lo strato tecnico (passa questo al tuo referente IT)

Il CAA è definito nell’RFC 8659 e applicato secondo i Baseline Requirements del CA/Browser Forum: ogni CA pubblicamente affidabile è obbligata a controllare il CAA al momento dell’emissione. I record hanno la forma <flags> <tag> <value>, con i tag issue, issuewild e iodef. Una policy issue o issuewild non vuota è ciò che soddisfa questo controllo; la sola presenza di iodef no (è segnalazione, non autorizzazione).

Una solida base all’apex:

example.com.   CAA   0 issue "letsencrypt.org"
example.com.   CAA   0 issuewild ";"
example.com.   CAA   0 iodef "mailto:[email protected]"

Note per chi implementa:

• Risalita dell’albero CAA: le CA valutano il CAA dal FQDN richiesto verso l’alto fino all’apex, fermandosi al primo nome con un record CAA impostato. Un record all’apex protegge quindi tutti i sottodomini a meno che un sottodominio non ne pubblichi uno proprio, cosa che può fare — utile se un sottodominio specifico usa un emittente diverso.
• Il valore ; in issuewild significa «nessuna CA può emettere wildcard» — un divieto esplicito. Usalo ogni volta che i wildcard non fanno parte della tua configurazione.
• Il flag 0 è il flag issuer-critical; 0 (non critico) è corretto per l’uso normale. Evita di impostare il bit critico a meno che tu non lo comprenda a fondo, perché un tag critico mal compreso può far rifiutare l’emissione alle CA conformi.
• Più emittenti: sono ammessi più record issue e sono additivi — elenca ogni CA legittimamente presente nel tuo stack (incluse le CA di back-end usate dal tuo provider CDN/edge) per prevenire i fallimenti di rinnovo.
• Verifica: dig CAA example.com +short, oppure controlla tramite gli strumenti di test CAA del CA/Browser Forum. Questo controllo stesso interroga il CAA su più resolver indipendenti (DNS locale, poi Google, Cloudflare e Quad9 DNS-over-HTTPS come ripiego) e accetta la prima risposta autoritativa, così l’indisponibilità di un singolo resolver non produce un falso «nessun CAA».
• Abbinamento con DNSSEC: il CAA dice alle CA chi può emettere; il DNSSEC impedisce che la risposta CAA stessa venga falsificata in transito. Sono complementari: per i domini di alto valore, usali entrambi.

Configuralo sul tuo host

Passo per passo per i provider più diffusi:

• Configura CAA su GoDaddy
• Configura CAA su Namecheap
• Configura CAA su Cloudflare
• Configura CAA su AWS Route 53

FAQ