Defaults.Exposed › Naprawy › Rekordy CAA

Jak naprawić Rekordy CAA

Rekord CAA to krótkie polecenie w ustawieniach Twojej domeny, które nazywa, które firmy certyfikacyjne mają prawo wystawić certyfikat bezpieczeństwa (kłódkę) dla Twojej witryny. Z włączonym rekordem żadna inna firma nie może po cichu utworzyć ważnego certyfikatu w Twoim imieniu.

W skrócie dla Twojej firmy: Bez rekordu CAA niemal każda z setek firm certyfikacyjnych na świecie może wystawić prawdziwy, w pełni zaufany certyfikat kłódki dla Twojej domeny — pozwalając oszustowi postawić nieskazitelny, w pełni wyglądający na bezpieczny klon Twojej witryny, by zbierać loginy i dane kart Twoich klientów, bez niczego na ekranie, co by ich ostrzegło.

Ile może Cię to kosztować

• Oszust uzyskuje prawdziwy certyfikat dla kopii Twojej witryny, więc pokazuje ona zieloną kłódkę i HTTPS — Twoi klienci nie widzą niczego złego, wpisują hasła i numery kart, a Ty dowiadujesz się dopiero, gdy zaczynają się obciążenia zwrotne i wściekłe telefony.
• Twoi klienci są phishowani przez idealnie odwzorowany sobowtór strony logowania; skutki — zwroty, obciążenie obsługi, szkoda dla reputacji — spadają na Twoją markę, choć Twoja prawdziwa witryna nigdy nie została tknięta.
• Zespół bezpieczeństwa lub zakupów potencjalnego klienta przed podpisaniem przeprowadza szybkie sprawdzenie Twojej domeny, nie widzi ochrony CAA i po cichu obniża Ci ocenę jako słaby w podstawach — narażając transakcję z powodu ustawienia, które dodaje się w pięć minut.
• Jedna ze światowych firm certyfikacyjnych zostaje skompromitowana (zdarzało się to wielokrotnie — DigiNotar, Comodo, Symantec), a ponieważ nigdy nie powiedziałeś, komu wolno działać w Twoim imieniu, Twoja domena jest narażona na tę, która okaże się najsłabszym ogniwem.

Dlaczego to ma znaczenie. W tej chwili drzwi są szeroko otwarte: dowolna firma certyfikacyjna na Ziemi może poręczyć za witrynę podającą się za Twoją, niezależnie od tego, czy kiedykolwiek z nią współpracowałeś. Rekord CAA zamyka te drzwi tak, by tylko wybrany przez Ciebie dostawca mógł wystawiać certyfikaty — to najprostsza, najtańsza obrona, jaka istnieje, przed podszywaniem się pod Twoją firmę w sieci.

Rekordy CAA, po ludzku

Każda bezpieczna witryna ma certyfikat — to, co stoi za kłódką w przeglądarce i „https” na początku Twojego adresu. Te certyfikaty wydają wyspecjalizowane firmy zwane urzędami certyfikacji (CA): nazwy jak Let’s Encrypt, DigiCert, Sectigo, Google Trust Services. Gdy przeglądarka widzi ważny certyfikat, pokazuje kłódkę i mówi Twojemu klientowi, że połączenie jest prawdziwe i bezpieczne.

Oto część, której większości właścicieli firm nigdy nie powiedziano: domyślnie setki tych urzędów certyfikacji na świecie ma każdy z osobna prawo wystawić certyfikat dla Twojej domeny — niezależnie od tego, czy kiedykolwiek o nich słyszałeś. Rekord CAA (Certification Authority Authorization) to jednolinijkowa notka, którą dodajesz do ustawień DNS swojej domeny, mówiąca w praktyce: „tylko ci dostawcy mają prawo wystawiać dla mnie certyfikaty”. Każdy legalny urząd certyfikacji jest zobowiązany regułami branży, by sprawdzić tę notkę przed wystawieniem — i odmówić, jeśli nie ma go na Twojej liście.

To różnica między otwartymi drzwiami frontowymi, przez które każdy może wejść, a takimi, do których klucz mają tylko ludzie, których wybrałeś. A dodanie nic nie kosztuje.

Co to może Cię kosztować

Ryzyko, które zamyka rekord CAA, to przekonujące podszywanie się. Gdy oszust może uzyskać prawdziwy certyfikat dla kopii Twojej witryny, zwykłe znaki ostrzegawcze znikają — nie ma zepsutej kłódki, baneru „niezabezpieczone” ani błędu certyfikatu. Wszystko wygląda dobrze, co właśnie czyni to niebezpiecznym.

• Nieskazitelna podróbka. Oszust rejestruje sobowtórowy adres (lub przejmuje drogę do Twoich klientów), zdobywa prawdziwy certyfikat i stawia idealny klon Twojej strony logowania lub kasy — z kłódką i wszystkim. Klienci wpisują hasła i numery kart jak zwykle. Pierwsze, co o tym słyszysz, to fala obciążeń zwrotnych, zgłoszeń oszustwa i wściekłych telefonów.
• Kampania phishingowa w Twoim imieniu. Atakujący wysyłają e-maile „prosimy potwierdzić konto”, które prowadzą do ich certyfikowanego klona Twojej witryny. Ponieważ strona wygląda w pełni bezpiecznie, więcej osób się nabiera. Sprzątanie — powiadamianie klientów, zwroty, godziny obsługi, niezręczne publiczne wyjaśnienie — spada na Ciebie, choć Twoje prawdziwe serwery nigdy nie zostały tknięte.
• Transakcja, która utyka na liście kontrolnej. Zespół bezpieczeństwa lub zakupów większego klienta skanuje Twoją domenę przed podpisaniem. „Brak rekordu CAA” pojawia się jako czerwona lub bursztynowa pozycja obok Twojej nazwy. Technicznie drobiazg, ale czyta się jako „nie ogarniają podstaw” i może spowolnić lub pogrążyć kontrakt, który inaczej byś wygrał.
• Złapany przez cudze naruszenie. Urząd certyfikacji, z którym nigdy nie miałeś do czynienia, zostaje skompromitowany — to nie hipoteza; DigiNotar, Comodo i Symantec wszystkie miały poważne incydenty. Ponieważ nigdy nie ograniczyłeś, kto może działać w Twoim imieniu, atakujący może zdobyć ważny certyfikat dla Twojej domeny przez ten słaby CA. Rekord CAA by mu odmówił.
• Martwy punkt wildcard. Nawet firmy ostrożne wobec swojej głównej witryny często zapominają o subdomenach. Bez reguły issuewild atakujący, który zdobędzie certyfikat wildcard, faktycznie dostaje klucz do każdej subdomeny, jaką kiedykolwiek będziesz mieć, naraz.

Żaden z tych scenariuszy nie wymaga wyrafinowanego ataku na Twoje serwery. Wykorzystują fakt, że bez rekordu CAA szerszy system certyfikatów jest po prostu zbyt ufny w Twoim imieniu.

Czym to właściwie jest i jak wygląda dobry stan

Rekord CAA żyje w DNS Twojej domeny — tych samych ustawieniach, które kierują Twoją domenę na Twoją witrynę i e-mail. Każdy rekord ma trzy części: flagę, tag i wartość. Tagi, które się liczą, to:

• issue — nazywa urząd certyfikacji uprawniony do wystawiania normalnych certyfikatów dla Twojej domeny. Możesz mieć kilka, po jednym na każdego legalnie używanego dostawcę.
• issuewild — kontroluje certyfikaty wildcard (jeden certyfikat obejmujący każdą subdomenę, np. *.example.com). Jeśli nie używasz wildcardów, zalecane ustawienie blokuje je całkowicie.
• iodef — opcjonalny adres kontaktowy, na który dostaniesz powiadomienie, jeśli urząd certyfikacji odrzuci żądanie z powodu Twojej polityki CAA. To Twoje wczesne ostrzeżenie, że ktoś próbował.

Jak wygląda dobry stan: obecny jest co najmniej jeden rekord issue (lub issuewild) nazywający dostawcę(ów), których faktycznie używasz, z wildcardami albo ograniczonymi do nazwanego dostawcy, albo zablokowanymi. To poprzeczka, którą mierzy ten test — wyszukuje rekordy CAA Twojej domeny w kilku niezależnych resolwerach i zalicza, gdy znajdzie obecną realną politykę issue lub issuewild. Domena bez żadnych rekordów CAA jest traktowana jako otwarte drzwi, którymi jest.

Czy to wpływa na moją ocenę? Tak. Brakujący rekord CAA to pozycja punktowana, oznaczona przy średniej wadze — to prawdziwa luka, nie tylko miły dodatek, ponieważ pozostawia otwartą realną drogę do podszywania się. Dodanie rekordu zamyka lukę i usuwa ustalenie.

Jak to naprawić (darmowo, ~5 minut)

Przekaż tę sekcję osobie zarządzającej Twoją domeną lub witryną — poprawka jest darmowa. To drobna zmiana DNS, nie przebudowa. Pobieramy opłatę tylko, jeśli później zechcesz, byśmy dalej pilnowali, czy rekord pozostaje na miejscu; dodanie nic nie kosztuje.

Krok 1 — Ustal, którego urzędu certyfikacji faktycznie używasz. To jeden krok, który warto wykonać poprawnie, bo wpisanie niewłaściwego dostawcy może zablokować następne odnowienie. Częste przypadki:

• Let’s Encrypt — używany przez wiele hostów i paneli sterowania (cPanel, Plesk) → letsencrypt.org
• Cloudflare (jeśli wystawia Twój certyfikat brzegowy) → letsencrypt.org, digicert.com, comodoca.com, pki.goog i ssl.com (Cloudflare używa wielu zaplecza CA; wpisz te, które pokazuje jego panel, lub jego pełny zestaw, by odnowienia nigdy się nie psuły)
• Google Workspace / Google Trust Services → pki.goog
• DigiCert → digicert.com
• Sectigo / Comodo → sectigo.com (oraz comodoca.com)
• Microsoft 365 / Azure — Microsoft zwykle używa DigiCert do certyfikatów zarządzanych → digicert.com (potwierdź w swoim portalu)

Jeśli nie masz pewności, spójrz na bieżący certyfikat w przeglądarce (kliknij kłódkę → szczegóły certyfikatu → „Wystawiony przez”), by zobaczyć, kto go wystawił.

Krok 2 — Zaloguj się do dostawcy DNS. To tam, gdzie żyją rekordy Twojej domeny — zwykle Twój rejestrator, host WWW lub Cloudflare. Znajdź sekcję rekordów DNS i wybierz dodanie nowego rekordu typu CAA (niektóre interfejsy oznaczają go jako typ 257).

Krok 3 — Dodaj rekord issue dla każdego używanego dostawcy. Dla Let’s Encrypt na przykład:

example.com.   CAA   0 issue "letsencrypt.org"

Dodaj jedną linię issue na każdego legalnego dostawcę. Większość paneli DNS daje osobne pola na flagę (0), tag (issue) i wartość (domenę CA), byś nie wpisywał całej linii ręcznie.

Krok 4 — Kontroluj certyfikaty wildcard. Jeśli nie używasz wildcardów, zablokuj je całkowicie, by nikt nie mógł po cichu jednego zdobyć:

example.com.   CAA   0 issuewild ";"

Jeśli używasz wildcardów, nazwij dostawcę zamiast tego: 0 issuewild "letsencrypt.org".

Krok 5 — (Zalecane) Dodaj adres powiadomień. By dostać informację, gdy CA odrzuci próbę — Twoje wczesne ostrzeżenie, że ktoś próbował:

example.com.   CAA   0 iodef "mailto:[email protected]"

Krok 6 — Zapisz i zweryfikuj. Uruchom dig CAA example.com (lub użyj dowolnego narzędzia do sprawdzania DNS online) i potwierdź, że Twoje rekordy się pojawiają. Zmiany mogą rozejść się po internecie w czasie od kilku minut do kilku godzin. Twój istniejący certyfikat i wszystkie odnowienia działają przez cały czas — CAA reguluje jedynie nowe wystawianie.

Szybkie uwagi do platform: Na Cloudflare DNS → Records → Add record → typ CAA. Na Google Workspace zarządzasz DNS u swojego rejestratora (lub w Cloud DNS, jeśli go używasz) — dodaj tam rekordy CAA z pki.goog. Na Microsoft 365 CAA nie ustawia się w centrum administracyjnym M365; dodaj je tam, gdzie hostowany jest DNS Twojej domeny, wpisując CA zarządzanego certyfikatu (zwykle DigiCert). Na popularnych hostach (GoDaddy, Namecheap i in.) jest to w tym samym panelu DNS, gdzie żyją Twoje rekordy A i MX.

Częste błędy

• Wpisanie niewłaściwego CA — lub pominięcie jednego. Największe realne ryzyko to nie bezpieczeństwo, lecz zablokowanie własnych odnowień. Jeśli używasz więcej niż jednego wystawcy (np. jednego dla głównej witryny, a drugiego za Cloudflare), wpisz wszystkich. W razie wątpliwości wpisz kilku, którym ufasz, raczej niż zbyt mało.
• Ustawienie issue i zignorowanie wildcardów. Domena, która ogranicza normalne certyfikaty, lecz nic nie mówi o wildcardach, wciąż pozostawia otwartą potężniejszą drogę wildcard. Zawsze ustaw też issuewild — albo na swojego dostawcę, albo na ";", by go zablokować.
• Umieszczenie CAA na niewłaściwej nazwie. CAA jest odczytywany przez urząd certyfikacji dla dokładnej certyfikowanej nazwy, wspinając się w górę drzewa. Ustawienie go na szczycie domeny („apex”, np. example.com) to właściwy ruch — domyślnie obejmuje subdomeny, chyba że subdomena ustawi własny.
• Zakładanie, że Twoja platforma już to zrobiła. Cloudflare, Google i Microsoft zarządzają certyfikatami, ale nie dodają za Ciebie rekordów CAA. Dopóki ich nie dodałeś, Twoja domena wciąż jest otwarta.
• Traktowanie jako raz a dobrze, bez monitorowania. Późniejsza migracja DNS, zmiana rejestratora lub „porządki” w rekordach mogą po cichu usunąć Twoją ochronę CAA. Warto sprawdzić, czy nadal jest, po każdej zmianie DNS.

Warstwa techniczna (przekaż to swojemu informatykowi)

CAA jest zdefiniowany w RFC 8659 i egzekwowany na mocy CA/Browser Forum Baseline Requirements — każdy publicznie zaufany CA jest zobowiązany sprawdzić CAA w chwili wystawiania. Rekordy mają postać <flags> <tag> <value>, z tagami issue, issuewild i iodef. To niepusta polityka issue lub issuewild spełnia ten test; sama obecność iodef nie wystarcza (to raportowanie, nie autoryzacja).

Solidna baza na apeksie:

example.com.   CAA   0 issue "letsencrypt.org"
example.com.   CAA   0 issuewild ";"
example.com.   CAA   0 iodef "mailto:[email protected]"

Uwagi dla wdrażającego:

• Wspinanie po drzewie CAA: CA oceniają CAA od żądanej FQDN w górę do apeksu, zatrzymując się na pierwszej nazwie z ustawionym rekordem CAA. Rekord na apeksie chroni więc wszystkie subdomeny, chyba że subdomena publikuje własny, co może — przydatne, gdy konkretna subdomena używa innego wystawcy.
• Wartość ; w issuewild znaczy „żaden CA nie może wystawiać wildcardów” — jawna odmowa. Używaj jej zawsze, gdy wildcardy nie są częścią Twojej konfiguracji.
• Flaga 0 to flaga issuer-critical; 0 (niekrytyczna) jest poprawna do normalnego użytku. Unikaj ustawiania bitu krytycznego, dopóki w pełni go nie rozumiesz, bo źle pojęty tag krytyczny może sprawić, że zgodne CA odmówią wystawiania.
• Wielu wystawców: dozwolone i sumujące się jest kilka rekordów issue — wpisz każdego CA legalnie obecnego w Twoim stosie (w tym zaplecza CA, których używa Twój dostawca CDN/brzegowy), by zapobiec niepowodzeniom odnowień.
• Weryfikacja: dig CAA example.com +short albo sprawdź przez narzędzia testowe CAA CA/Browser Forum. Sam ten test odpytuje CAA w kilku niezależnych resolwerach (lokalny DNS, następnie Google, Cloudflare i Quad9 DNS-over-HTTPS jako rezerwa) i przyjmuje pierwszą autorytatywną odpowiedź, więc awaria jednego resolwera nie da fałszywego wyniku „brak CAA”.
• Parowanie z DNSSEC: CAA mówi CA, kto może wystawiać; DNSSEC powstrzymuje samą odpowiedź CAA przed sfałszowaniem w trakcie przesyłu. Są komplementarne — dla domen o wysokiej wartości uruchom oba.

Skonfiguruj to u swojego dostawcy

Krok po kroku dla popularnych dostawców:

• Skonfiguruj CAA u dostawcy GoDaddy
• Skonfiguruj CAA u dostawcy Namecheap
• Skonfiguruj CAA u dostawcy Cloudflare
• Skonfiguruj CAA u dostawcy AWS Route 53

Najczęstsze pytania