Defaults.Exposed › Исправления › Записи CAA

Как исправить Записи CAA

Запись CAA — это короткая инструкция в настройках вашего домена, которая называет, какие сертификационные компании вправе выпускать «замочковый» сертификат безопасности для вашего сайта. С ней никакая другая компания не сможет тихо создать действующий сертификат от вашего имени.

Главное для вашего бизнеса: Без записи CAA почти любая из сотен сертификационных компаний мира может выпустить настоящий, полностью доверенный «замочковый» сертификат для вашего домена — позволяя мошеннику поднять безупречный, полностью «защищённым» на вид клон вашего сайта, чтобы собирать логины и данные карт ваших клиентов, без единого предупреждения на экране.

Во что это может вам обойтись

• Мошенник получает настоящий сертификат для копии вашего сайта, и тот показывает зелёный замочек и HTTPS — ваши клиенты не видят ничего подозрительного, вводят пароли и номера карт, а вы узнаёте об этом, только когда начинаются возвраты платежей и гневные звонки.
• Ваших клиентов фишат через пиксель-в-пиксель копию вашей страницы входа; последствия — возвраты, нагрузка на поддержку, удар по репутации — ложатся на ваш бренд, хотя ваш настоящий сайт никто не трогал.
• Служба безопасности или закупок потенциального клиента перед подписанием делает быструю проверку вашего домена, не видит защиты CAA и тихо помечает вас как «слабых в основах» — ставя сделку под угрозу из-за настройки, добавляемой за пять минут.
• Одну из мировых сертификационных компаний взламывают (такое случалось не раз — DigiNotar, Comodo, Symantec), и поскольку вы никогда не указывали, кому позволено действовать от вашего имени, ваш домен открыт через любую из них, что окажется самым слабым звеном.

Почему это важно. Прямо сейчас дверь распахнута настежь: любая сертификационная компания на Земле может поручиться за сайт, утверждающий, что он ваш, имели вы с ней дело или нет. Запись CAA запирает эту дверь, чтобы выпускать сертификаты мог только выбранный вами провайдер — это самая простая и дешёвая защита от того, чтобы кто-то выдавал себя за ваш бизнес в сети.

Записи CAA, простыми словами

У каждого защищённого сайта есть сертификат — то, что стоит за замочком в браузере и за «https» в начале вашего адреса. Эти сертификаты выдают специализированные фирмы, называемые центрами сертификации (CA): имена вроде Let’s Encrypt, DigiCert, Sectigo, Google Trust Services. Когда браузер видит действующий сертификат, он показывает замочек и сообщает клиенту, что соединение подлинное и защищённое.

Вот часть, о которой большинству владельцев бизнеса никогда не говорили: по умолчанию сотни этих центров сертификации по всему миру каждый вправе выпустить сертификат для вашего домена — слышали вы о них когда-нибудь или нет. Запись CAA (Certification Authority Authorization) — это однострочная пометка, которую вы добавляете в настройки DNS вашего домена и которая по сути говорит: «выпускать сертификаты для меня вправе только эти провайдеры». Каждый легитимный центр сертификации обязан правилами отрасли проверить эту пометку перед выпуском — и отказать, если его нет в вашем списке.

Это разница между незапертой входной дверью, в которую может войти кто угодно, и дверью, ключ от которой есть только у выбранных вами людей. И добавление ничего не стоит.

Во что это может вам обойтись

Риск, который закрывает запись CAA, — это убедительная подмена. Когда мошенник может получить настоящий сертификат для копии вашего сайта, обычные тревожные признаки исчезают — нет сломанного замочка, нет баннера «не защищено», нет ошибки сертификата. Всё выглядит правильно, и именно это делает это опасным.

• Безупречная подделка. Мошенник регистрирует похожий адрес (или компрометирует путь к вашим клиентам), получает настоящий сертификат и поднимает идеальный клон вашей страницы входа или оформления заказа — с замочком и всем прочим. Клиенты вводят пароли и номера карт как обычно. Впервые вы об этом слышите по волне возвратов платежей, заявлений о мошенничестве и гневных телефонных звонков.
• Фишинговая кампания от вашего имени. Злоумышленники рассылают письма «подтвердите ваш аккаунт», ведущие на их сертифицированный клон вашего сайта. Поскольку страница выглядит полностью защищённой, попадается больше людей. Разгребание — оповещение клиентов, возвраты, часы поддержки, неловкое публичное объяснение — всё ложится на вас, хотя ваши настоящие серверы никто не трогал.
• Сделка, буксующая на чек-листе. Служба безопасности или закупок крупного клиента перед подписанием сканирует ваш домен. «Нет записи CAA» всплывает как красный или жёлтый пункт рядом с вашим именем. Технически это мелочь, но читается как «не закрывают основ» и может замедлить или сорвать контракт, который вы иначе выиграли бы.
• Пострадали из-за чужого взлома. Центр сертификации, с которым вы никогда не имели дела, взламывают — это не гипотеза; у DigiNotar, Comodo и Symantec были серьёзные инциденты. Поскольку вы никогда не ограничивали, кому позволено действовать от вашего имени, злоумышленник может получить действующий сертификат для вашего домена через этот слабый CA. Запись CAA отказала бы ему.
• Слепое пятно wildcard. Даже бизнесы, аккуратные с основным сайтом, часто забывают про поддомены. Без правила issuewild злоумышленник, способный получить wildcard-сертификат, фактически получает ключ ко всем поддоменам, которые у вас когда-либо будут, сразу.

Ничто из этого не требует изощрённой атаки на ваши серверы. Они используют то, что без записи CAA вся система сертификатов попросту слишком доверчива от вашего имени.

Что это на самом деле и как выглядит «хорошо»

Запись CAA живёт в DNS вашего домена — тех же настройках, что указывают домену на ваш сайт и почту. У каждой записи три части: флаг, тег и значение. Значимые теги:

• issue — называет центр сертификации, которому позволено выпускать обычные сертификаты для вашего домена. Их может быть несколько, по одному на каждого провайдера, которым вы законно пользуетесь.
• issuewild — управляет wildcard-сертификатами (один сертификат, покрывающий каждый поддомен, например *.example.com). Если вы не используете wildcard, рекомендуемая настройка блокирует их полностью.
• iodef — необязательный контактный адрес, на который вас уведомят, если центр сертификации отклонит запрос из-за вашей политики CAA. Это ваше раннее предупреждение, что кто-то пытался.

Как выглядит «хорошо»: присутствует хотя бы одна запись issue (или issuewild), называющая провайдера(ов), которыми вы реально пользуетесь, при этом wildcard либо ограничены названным провайдером, либо заблокированы. Это и есть планка, которую измеряет проверка — она ищет записи CAA вашего домена через несколько независимых резолверов и проходит, когда находит действующую политику issue или issuewild. Домен без записей CAA вообще трактуется как та самая открытая дверь.

Влияет ли это на мою оценку? Да. Отсутствующая запись CAA — это оценочный пункт, помеченный средней серьёзностью — это настоящий пробел, а не просто приятное дополнение, потому что оставляет открытым реальный путь к подмене. Добавление записи закрывает пробел и снимает находку.

Как это исправить (бесплатно, ~5 минут)

Передайте этот раздел тому, кто управляет вашим доменом или сайтом, — исправление бесплатно. Это небольшое изменение DNS, а не перестройка. Мы берём оплату лишь если вы позже захотите, чтобы мы следили за тем, что запись остаётся на месте; добавление ничего не стоит.

Шаг 1 — Выясните, каким центром сертификации вы реально пользуетесь. Это единственный шаг, который стоит сделать правильно, потому что указание неверного провайдера может заблокировать следующее продление. Распространённые случаи:

• Let’s Encrypt — используется многими хостами и панелями управления (cPanel, Plesk) → letsencrypt.org
• Cloudflare (если он выпускает ваш граничный сертификат) → letsencrypt.org, digicert.com, comodoca.com, pki.goog и ssl.com (Cloudflare использует несколько внутренних CA; перечислите те, что показывает его панель, или весь набор, чтобы продления никогда не ломались)
• Google Workspace / Google Trust Services → pki.goog
• DigiCert → digicert.com
• Sectigo / Comodo → sectigo.com (и comodoca.com)
• Microsoft 365 / Azure — Microsoft обычно использует DigiCert для управляемых сертификатов → digicert.com (уточните в своём портале)

Если не уверены, посмотрите ваш текущий сертификат в браузере (клик по замочку → детали сертификата → «Выдан кем»), чтобы увидеть, кто его выпустил.

Шаг 2 — Войдите в вашего DNS-провайдера. Это там, где живут записи вашего домена — обычно ваш регистратор, веб-хост или Cloudflare. Найдите раздел записей DNS и выберите добавить новую запись типа CAA (некоторые интерфейсы помечают её как тип 257).

Шаг 3 — Добавьте запись issue для каждого используемого провайдера. Для Let’s Encrypt, например:

example.com.   CAA   0 issue "letsencrypt.org"

Добавьте по одной строке issue на каждого законного провайдера. Большинство панелей DNS дают отдельные поля для флага (0), тега (issue) и значения (домен CA), так что всю строку вручную набирать не придётся.

Шаг 4 — Управляйте wildcard-сертификатами. Если вы не используете wildcard, заблокируйте их полностью, чтобы никто не смог тихо его получить:

example.com.   CAA   0 issuewild ";"

Если вы используете wildcard, вместо этого назовите провайдера: 0 issuewild "letsencrypt.org".

Шаг 5 — (Рекомендуется) Добавьте адрес для уведомлений. Чтобы вам сообщали всякий раз, когда CA отклоняет попытку, — ваше раннее предупреждение, что кто-то пытался:

example.com.   CAA   0 iodef "mailto:[email protected]"

Шаг 6 — Сохраните и проверьте. Запустите dig CAA example.com (или используйте любой онлайн-инструмент поиска DNS) и убедитесь, что ваши записи появляются. Изменения могут расходиться по интернету от нескольких минут до нескольких часов. Ваш текущий сертификат и все продления продолжают работать всё это время — CAA регулирует только новый выпуск.

Быстрые заметки по платформам: В Cloudflare — DNS → Records → Add record → тип CAA. В Google Workspace вы управляете DNS у регистратора (или в Cloud DNS, если используете его) — добавьте записи CAA там с pki.goog. В Microsoft 365 CAA не задаётся в админ-центре M365; добавьте её там, где размещён DNS вашего домена, перечислив CA вашего управляемого сертификата (обычно DigiCert). На распространённых хостах (GoDaddy, Namecheap и т. д.) это в той же панели DNS, где живут ваши записи A и MX.

Частые ошибки

• Указание неверного CA — или пропуск одного. Самый большой реальный риск — не безопасность, а блокировка ваших же продлений. Если вы используете более одного издателя (например, один для основного сайта, другой за Cloudflare), перечислите всех. В сомнении лучше перечислить несколько доверенных, чем слишком мало.
• Установка issue с игнорированием wildcard. Домен, ограничивающий обычные сертификаты, но молчащий о wildcard, всё равно оставляет более мощный wildcard-путь открытым. Всегда задавайте и issuewild — либо вашему провайдеру, либо ";" для блокировки.
• Размещение CAA на неверном имени. CAA читается центром сертификации для точного сертифицируемого имени, поднимаясь вверх по дереву. Установка на вершине вашего домена (на «апексе», например example.com) — верный ход — она покрывает поддомены по умолчанию, если поддомен не задаст свою.
• Уверенность, что платформа уже это сделала. Cloudflare, Google и Microsoft управляют сертификатами, но не добавляют записи CAA за вас. Пока вы их не добавили, ваш домен всё ещё открыт.
• Отношение как к «сделал и забыл» без мониторинга. Поздняя миграция DNS, смена регистратора или «уборка» записей могут тихо снести вашу защиту CAA. Стоит проверять, что она на месте, после любого изменения DNS.

Технический слой (передайте вашему ИТ-специалисту)

CAA определён в RFC 8659 и обеспечивается под Baseline Requirements CA/Browser Forum — каждый публично доверенный CA обязан проверять CAA в момент выпуска. Записи имеют форму <flags> <tag> <value> с тегами issue, issuewild и iodef. Эту проверку удовлетворяет непустая политика issue или issuewild; наличия одного iodef недостаточно (это отчётность, а не авторизация).

Надёжная база на апексе:

example.com.   CAA   0 issue "letsencrypt.org"
example.com.   CAA   0 issuewild ";"
example.com.   CAA   0 iodef "mailto:[email protected]"

Заметки для реализующего:

• Подъём по дереву CAA: CA вычисляют CAA от запрашиваемого FQDN вверх до апекса, останавливаясь на первом имени с заданной записью CAA. Запись на апексе поэтому защищает все поддомены, если поддомен не публикует свою — что полезно, если конкретный поддомен использует другого издателя.
• Значение ; в issuewild означает «ни один CA не может выпускать wildcard» — явный запрет. Используйте его всегда, когда wildcard не часть вашей схемы.
• Флаг 0 — это флаг issuer-critical; 0 (некритичный) верен для обычного использования. Избегайте установки критического бита, пока не понимаете его полностью, так как неверно понятый критичный тег может заставить соответствующие CA отказать в выпуске.
• Несколько издателей: допускается несколько записей issue, и они аддитивны — перечислите каждый CA, законно входящий в ваш стек (включая внутренние CA, используемые вашим CDN/граничным провайдером), чтобы предотвратить сбои продления.
• Проверка: dig CAA example.com +short или проверка через инструменты тестирования CAA CA/Browser Forum. Сама эта проверка запрашивает CAA через несколько независимых резолверов (локальный DNS, затем Google, Cloudflare и Quad9 DNS-over-HTTPS как запасные) и принимает первый авторитетный ответ, так что сбой одного резолвера не даст ложного «нет CAA».
• Связка с DNSSEC: CAA говорит CA, кому можно выпускать; DNSSEC не даёт подделать сам ответ CAA в пути. Они дополняют друг друга — для ценных доменов используйте оба.

Настройте это у своего хостинг-провайдера

Пошагово для популярных провайдеров:

• Настроить CAA на GoDaddy
• Настроить CAA на Namecheap
• Настроить CAA на Cloudflare
• Настроить CAA на AWS Route 53

Частые вопросы