Defaults.Exposed › Remedieri › Înregistrări CAA

Cum să remediezi Înregistrări CAA

O înregistrare CAA este o instrucțiune scurtă în setările domeniului tău care numește ce companii de certificate au voie să emită certificatul de securitate 'lacăt' pentru site-ul tău. Cu ea activată, nicio altă companie nu poate crea în tăcere un certificat valid în numele tău.

Concluzia pentru afacerea ta: Fără o înregistrare CAA, aproape oricare din sutele de companii de certificate din lume pot emite un certificat lacăt autentic, de încredere deplină pentru domeniul tău — permițând unui escroc să ridice o clonă impecabilă, complet 'securizată' a site-ului tău pentru a recolta datele de autentificare și detaliile de card ale clienților tăi, fără niciun avertisment pe ecran.

Ce te poate costa

• Un escroc obține un certificat real pentru o copie a site-ului tău, astfel că arată lacătul verde și HTTPS — clienții tăi nu văd nimic greșit, tastează parolele și numerele de card în mod normal, și afli despre asta abia când rambursările și apelurile furioase încep.
• Clienții tăi sunt phishuiți printr-un look-alike pixel-perfect al paginii tale de autentificare; consecințele — rambursări, sarcina de suport, deteriorarea reputației — cad pe brandul tău chiar dacă serverele tale reale nu au fost niciodată atinse.
• Echipa de securitate sau achiziții a unui prospect rulează o verificare rapidă a domeniului tău înainte de semnare, vede nicio protecție CAA, și te marchează în tăcere ca 'slab pe elementele de bază' — punând o tranzacție la risc din cauza unei setări care durează cinci minute de adăugat.
• Una din companiile de certificate ale lumii este compromisă (aceasta s-a întâmplat repetat — DigiNotar, Comodo, Symantec), și deoarece nu ai spus niciodată cine are voie să acționeze pentru tine, domeniul tău este expus oricăruia se dovedește a fi veriga cea mai slabă.

De ce contează. Chiar acum ușa este larg deschisă: orice companie de certificate de pe Pământ poate garanta pentru un site care pretinde că este al tău, indiferent dacă ai tratat vreodată cu ei. O înregistrare CAA blochează acea ușă astfel că numai furnizorul pe care l-ai ales poate emite certificate — este cea mai simplă, mai ieftină apărare existentă împotriva cuiva care îți impostează afacerea online.

Înregistrări CAA, în cuvinte simple

Fiecare site securizat are un certificat — lucrul din spatele lacătului în browser și a “https” din fața adresei tale. Acele certificate sunt distribuite de firme specializate numite autorități de certificare (CA): nume precum Let’s Encrypt, DigiCert, Sectigo, Google Trust Services. Când browserul tău vede un certificat valid, arată lacătul și îi spune clientului tău că conexiunea este autentică și securizată.

Iată partea pe care cei mai mulți proprietari de afaceri nu au auzit-o niciodată: implicit, sute din aceste autorități de certificare din lume au fiecare dreptul să emită un certificat pentru domeniul tău — indiferent dacă ai auzit vreodată de ele sau nu. O înregistrare CAA (Certification Authority Authorization) este o notă pe o linie pe care o adaugi în setările DNS ale domeniului tău care spune, în esență, “numai acești furnizori au voie să emită certificate pentru mine.” Fiecare autoritate de certificare legitimă este obligată prin regulile industriei să verifice acea notă înainte de a emite — și să refuze dacă nu sunt pe lista ta.

Este diferența dintre o ușă de intrare descuiată prin care oricine poate trece, și una unde numai persoanele pe care le-ai ales dețin o cheie. Și nu costă nimic de adăugat.

Ce te poate costa

Riscul pe care îl închide o înregistrare CAA este impostarea convingătoare. Când un escroc poate obține un certificat real pentru o copie a site-ului tău, semnele obișnuite de avertizare dispar — nu există lacăt spart, niciun banner “nu este securizat”, nicio eroare de certificat. Totul arată corect, ceea ce este exact ce îl face periculos.

• Falsul impecabil. Un escroc înregistrează o adresă look-alike (sau compromite o rută spre clienții tăi), obține un certificat autentic, și ridică o clonă perfectă a paginii tale de autentificare sau checkout — cu lacăt și tot. Clienții introduc parole și numere de card ca de obicei. Prima dată când afli despre asta este un val de rambursări, rapoarte de fraudă și apeluri telefonice furioase.
• Campania de phishing în numele tău. Atacatorii trimit email-uri de “confirmă-ți contul” care linkuiesc spre clona lor certificată a site-ului tău. Deoarece pagina arată complet securizată, mai mulți oameni cad în capcană. Curățenia — notificarea clienților, rambursările, orele de suport, explicația publică stânjenitoare — cade toată pe tine, chiar dacă serverele tale reale nu au fost niciodată atinse.
• Tranzacția care se blochează pe o listă de verificare. Echipa de securitate sau achiziții a unui client mai mare îți scanează domeniul înainte de semnare. “Nicio înregistrare CAA” apare ca un element roșu sau portocaliu lângă numele tău. Este un lucru mic tehnic, dar se citește ca “nu acoperă elementele de bază,” și poate încetini sau scufunda un contract pe care altfel l-ai fi câștigat.
• Prins de breșa altcuiva. O autoritate de certificare cu care nu ai tratat niciodată este compromisă — aceasta nu este ipotetică; DigiNotar, Comodo și Symantec au avut toate incidente serioase. Deoarece nu ai restricționat niciodată cine poate acționa pentru tine, atacatorul poate obține un certificat valid pentru domeniul tău prin acea CA slabă. O înregistrare CAA ar fi refuzat-o.
• Unghiul mort wildcard. Chiar și afacerile care sunt atente cu site-ul lor principal uită adesea subdomeniile. Fără o regulă issuewild, un atacator care poate obține un certificat wildcard obține efectiv o cheie pentru fiecare subdomeniu pe care îl vei avea vreodată simultan.

Niciunul din acestea nu necesită un atac sofisticat pe serverele tale. Exploatează faptul că, fără nicio înregistrare CAA, sistemul mai larg de certificate este pur și simplu prea de încredere în numele tău.

Ce este de fapt și cum arată “bine”

O înregistrare CAA locuiește în DNS-ul domeniului tău — aceleași setări care indică domeniul tău spre site-ul tău web și email. Fiecare înregistrare are trei părți: un steag, un tag și o valoare. Tag-urile care contează sunt:

• issue — numește o autoritate de certificare autorizată să emită certificate normale pentru domeniul tău. Poți avea mai multe, câte una pe furnizor pe care îl folosești legitim.
• issuewild — controlează certificatele wildcard (un certificat care acoperă fiecare subdomeniu, de ex. *.example.com). Dacă nu folosești wildcard-uri, setarea recomandată le blochează complet.
• iodef — o adresă de contact opțională unde vei fi notificat dacă o autoritate de certificare respinge o cerere din cauza politicii tale CAA. Acesta este avertismentul tău timpuriu că cineva a încercat.

Cum arată “bine”: cel puțin o înregistrare issue (sau issuewild) este prezentă, numind furnizorii pe care îi folosești de fapt, cu wildcard-urile fie restricționate la un furnizor numit, fie blocate. Aceasta este bara pe care o măsoară această verificare — caută înregistrările CAA ale domeniului tău prin mai mulți rezolvatori independenți și trece când găsește o politică reală issue sau issuewild în vigoare. Un domeniu fără nicio înregistrare CAA este tratat ca ușa deschisă care este.

Afectează asta nota mea? Da. O înregistrare CAA lipsă este un element notat și este semnalat la severitate medie — este un decalaj real, nu numai ceva frumos de avut, deoarece lasă o rută reală de impostură deschisă. Adăugarea înregistrării închide decalajul și șterge constatarea.

Cum se remediază (gratuit, ~5 minute)

Predă această secțiune celui care îți gestionează domeniul sau site-ul web — remedierea este gratuită. Este o mică modificare DNS, nu o reconstrucție. Percepem taxe numai dacă mai târziu dorești să urmărim că înregistrarea rămâne la locul ei.

Pasul 1 — Află ce autoritate de certificare folosești de fapt. Acesta este singurul pas care merită să fie obținut corect, deoarece listarea furnizorului greșit poate bloca reînnoirea ta următoare. Cazuri comune:

• Let’s Encrypt — folosit de multe gazde și panouri de control (cPanel, Plesk) → letsencrypt.org
• Cloudflare (dacă emite certificatul tău de margine) → letsencrypt.org, digicert.com, comodoca.com, pki.goog, și ssl.com (Cloudflare folosește mai multe CA-uri backend; listează cele pe care le arată tabloul de bord, sau setul său complet, astfel că reînnoirile nu se strică niciodată)
• Google Workspace / Google Trust Services → pki.goog
• DigiCert → digicert.com
• Sectigo / Comodo → sectigo.com (și comodoca.com)
• Microsoft 365 / Azure — Microsoft folosește de obicei DigiCert pentru certificate gestionate → digicert.com (confirmă în portalul tău)

Dacă nu ești sigur, uită-te la certificatul tău actual în browser (dă clic pe lacăt → detalii certificat → “Emis de”) pentru a vedea cine l-a emis.

Pasul 2 — Autentifică-te la furnizorul tău DNS. Acesta este oriunde locuiesc înregistrările domeniului tău — de obicei registratorul, gazda web sau Cloudflare. Găsește secțiunea de înregistrări DNS și alege să adaugi o nouă înregistrare de tip CAA (unele interfețe o etichetează ca tip 257).

Pasul 3 — Adaugă o înregistrare issue pentru fiecare furnizor pe care îl folosești. Pentru Let’s Encrypt, de exemplu:

example.com.   CAA   0 issue "letsencrypt.org"

Adaugă o linie issue per furnizor legitim. Cele mai multe tablouri de bord DNS îți oferă casete separate pentru steag (0), tag (issue), și valoare (domeniul CA) astfel că nu tastezi întreaga linie manual.

Pasul 4 — Controlează certificatele wildcard. Dacă nu folosești wildcard-uri, blochează-le complet astfel că nimeni nu poate obține unul în tăcere:

example.com.   CAA   0 issuewild ";"

Dacă folosești wildcard-uri, numește furnizorul în schimb: 0 issuewild "letsencrypt.org".

Pasul 5 — (Recomandat) Adaugă o adresă de notificare. Astfel că ești informat ori de câte ori un CA respinge o încercare — avertismentul tău timpuriu că cineva a încercat:

example.com.   CAA   0 iodef "mailto:[email protected]"

Pasul 6 — Salvează și verifică. Rulează dig CAA example.com (sau folosește orice instrument online de căutare DNS) și confirmă că înregistrările tale apar. Modificările pot dura de la câteva minute la câteva ore să se răspândească pe internet. Certificatul tău existent și toate reînnoirile continuă să funcționeze pe tot parcursul — CAA guvernează numai emiterea nouă.

Note rapide pe platformă: Pe Cloudflare, DNS → Înregistrări → Adaugă înregistrare → tip CAA. Pe Google Workspace, gestionezi DNS la registratorul tău (sau Cloud DNS dacă îl folosești) — adaugă înregistrările CAA acolo cu pki.goog. Pe Microsoft 365, CAA nu este setat în centrul de administrare M365; adaugă-l oriunde este găzduit DNS-ul domeniului tău, listând CA-ul certificatului tău gestionat (de obicei DigiCert). Pe gazde comune (GoDaddy, Namecheap etc.), este în același panou DNS unde locuiesc înregistrările tale A și MX.

Greșeli comune

• Listarea CA-ului greșit — sau uitarea unuia. Cel mai mare risc real nu este securitatea, ci blocarea propriilor reînnoiri. Dacă folosești mai mult de un emitent (de ex. unul pentru site-ul principal și altul în spatele Cloudflare), listează-i pe toți. Când nu ești sigur, listează câțiva în care ai încredere mai degrabă decât prea puțini.
• Setând issue dar ignorând wildcard-urile. Un domeniu care restricționează certificatele normale dar nu spune nimic despre wildcard-uri lasă totuși ruta mai puternică de wildcard deschisă. Setează întotdeauna și issuewild — fie la furnizorul tău, fie la ";" pentru a-l bloca.
• Punând CAA pe numele greșit. CAA este citit de autoritatea de certificare pentru numele exact care este certificat, urcând în arbore. Setarea la vârful domeniului tău (de ex. example.com) este mutarea corectă — acoperă subdomeniile implicit dacă nu un subdomeniu setează propriul.
• Presupunând că platforma ta a făcut-o deja. Cloudflare, Google și Microsoft gestionează certificate dar nu adaugă înregistrări CAA pentru tine. Dacă nu le-ai adăugat, domeniul tău este totuși deschis.
• Tratând-o ca definitiv-și-gata fără monitorizare. O migrație DNS ulterioară, o schimbare de registrator, sau o “curățare” de înregistrări poate elimina în tăcere protecția ta CAA. Merită să verifici că este încă acolo după orice modificare DNS.

Stratul tehnic (predă asta persoanei tale IT)

CAA este definit în RFC 8659 și aplicat conform Cerințelor de Bază ale CA/Browser Forum — fiecare CA de încredere publică este obligat să verifice CAA la momentul emiterii. Înregistrările iau forma <steaguri> <tag> <valoare>, cu tag-urile issue, issuewild, și iodef. O politică non-goală issue sau issuewild este cea care satisface această verificare; prezența iodef singură nu satisface (este raportare, nu autorizare).

O linie de bază solidă la apex:

example.com.   CAA   0 issue "letsencrypt.org"
example.com.   CAA   0 issuewild ";"
example.com.   CAA   0 iodef "mailto:[email protected]"

Note pentru implementator:

• Escaladarea arborelui CAA: CA-urile evaluează CAA de la FQDN-ul solicitat în sus spre apex, oprindu-se la primul nume cu un set de înregistrări CAA. O înregistrare la apex protejează deci toate subdomeniile dacă un subdomeniu nu publică propriul, ceea ce poate — util dacă un subdomeniu specific folosește un emitent diferit.
• Valoarea ; în issuewild înseamnă “niciun CA nu poate emite wildcard-uri” — o refuzare explicită. Folosește-o ori de câte ori wildcard-urile nu fac parte din configurația ta.
• Steagul 0 este steagul critic pentru emitent; 0 (non-critic) este corect pentru utilizarea normală.
• Emitere multiplă: mai multe înregistrări issue sunt permise și aditive — listează fiecare CA legitimă din stiva ta pentru a preveni eșecurile de reînnoire.
• Verificare: dig CAA example.com +short. Această verificare interoghează CAA prin mai mulți rezolvatori independenți și acceptă primul răspuns autoritar.
• Cuplarea DNSSEC: CAA le spune CA-urilor cine poate emite; DNSSEC împiedică răspunsul CAA însuși să fie falsificat în tranzit. Sunt complementare — pentru domenii de valoare ridicată, rulează ambele.

Configurează-l la furnizorul tău

Pas cu pas pentru furnizorii populari:

• Configurează CAA pe GoDaddy
• Configurează CAA pe Namecheap
• Configurează CAA pe Cloudflare
• Configurează CAA pe AWS Route 53

Întrebări frecvente