Defaults.Exposed › Opravy › CAA záznamy

Ako opraviť CAA záznamy

CAA záznam je krátka inštrukcia v nastaveniach vašej domény, ktorá uvádza, ktoré certifikačné spoločnosti smú vydávať bezpečnostný certifikát 'zámku' pre váš web. Keď je zapnutý, žiadna iná spoločnosť nemôže ticho vytvoriť platný certifikát vo vašom mene.

Podstata pre vaše podnikanie: Bez CAA záznamu môže takmer ktorákoľvek z stoviek certifikačných spoločností na svete vydať skutočný, plne dôveryhodný certifikát zámku pre vašu doménu — čo podvodníkovi umožní postaviť bezchybný, plne 'bezpečne' vyzerajúci klon vašej stránky na zbieranie prihlasovacích údajov a platobných kariet zákazníkov, pričom na obrazovke nie je žiadne varovanie.

Čo vás to môže stáť

Podvodník získa skutočný certifikát pre kópiu vašej stránky, takže zobrazuje zelený zámok a HTTPS — zákazníci nevidia nič zlé, napíšu heslá a čísla kariet a vy sa to dozviete len keď začnú vrátenia platieb a nahnevaní volajúci.
Zákazníci sú phishovaní cez dokonalú kópiu vašej prihlasovacej stránky; záchrana — vrátenia, zaťaženie podpory, reputačné škody — dopadá na vašu značku, aj keď váš skutočný web nebol nikdy dotknutý.
IT tím potenciálneho zákazníka spustí rýchlu kontrolu vašej domény pred podpisom, nevidí žiadnu CAA ochranu a ticho vás označí ako 'slabého v základoch' — ohrozujúc obchod kvôli nastaveniu, ktoré trvá päť minút pridať.
Jedna z certifikačných spoločností na svete je kompromitovaná (toto sa opakovane stalo — DigiNotar, Comodo, Symantec) a pretože ste nikdy nepovedali, kto smie konať za vás, vaša doména je vystavená tomu, ktorý sa ukáže ako najslabší článok.

Prečo na tom záleží. Práve teraz sú dvere dokorán otvorené: akákoľvek certifikačná spoločnosť na Zemi môže zaručiť stránku, ktorá tvrdí, že je vaša, bez ohľadu na to, či ste s ňou niekedy obchodovali. CAA záznam zamyká tieto dvere, takže len poskytovateľ, ktorého ste si vybrali, môže vydávať certifikáty — je to najjednoduchšia, najlacnejšia ochrana pred niekým vydávajúcim sa za vaše podnikanie online.

CAA záznamy, v jednoduchých slovách

Každý bezpečný web má certifikát — vec za zámkom v prehliadači a “https” na začiatku vašej adresy. Tieto certifikáty vydávajú špecializované firmy nazývané certifikačné autority (CA): mená ako Let’s Encrypt, DigiCert, Sectigo, Google Trust Services. Keď váš prehliadač vidí platný certifikát, zobrazí zámok a povie vášmu zákazníkovi, že pripojenie je skutočné a bezpečné.

Tu je časť, o ktorej väčšina majiteľov firiem nikdy nebola informovaná: predvolene môže stovky týchto certifikačných autorít po celom svete každá vydať certifikát pre vašu doménu — bez ohľadu na to, či ste o nich niekedy počuli alebo nie. CAA záznam (Certification Authority Authorization) je jednoriadková poznámka, ktorú pridáte do nastavení DNS vašej domény, ktorá v podstate hovorí: “len títo poskytovatelia smú vydávať certifikáty pre mňa.” Každá legitímna certifikačná autorita je povinná podľa pravidiel odvetvia skontrolovať túto poznámku pred vydávaním — a odmietnuť, ak nie je na vašom zozname.

Je to rozdiel medzi nezamknutými predných dverami, cez ktoré môže prejsť ktokoľvek, a tými, kde len ľudia, ktorých ste si vybrali, držia kľúč. A nič to nestojí pridať.

Čo vás to môže stáť

Riziko, ktoré CAA záznam uzatvára, je presvedčivé vydávanie sa za vás. Keď podvodník môže získať skutočný certifikát pre kópiu vašej stránky, obvyklé varovné znaky zmiznú — nie je žiadny rozbitý zámok, žiadny banner “nie je bezpečné”, žiadna chyba certifikátu. Všetko vyzerá správne, čo je presne to, čo to robí nebezpečným.

Bezchybná falzifikát. Podvodník zaregistruje podobne vyzerajúcu adresu (alebo kompromituje cestu k vašim zákazníkom), získa skutočný certifikát a postaví dokonalý klon vašej prihlasovacej alebo pokladňovej stránky — so zámkom a všetkým. Zákazníci zadajú heslá a čísla kariet normálne. Prvý raz to počujete je vlna vrátení, správ o podvode a nahnevaných telefonátov.
Phishingová kampaň vo vašom mene. Útočníci posielajú e-maily “prosím potvrďte svoj účet” odkazujúce na ich certifikovaný klon vašej stránky. Pretože stránka vyzerá plne bezpečná, viac ľudí naletí. Záchrana — informovanie zákazníkov, vrátenia, hodiny podpory, nepríjemné verejné vysvetlenie — všetko dopadá na vás, aj keď vaše skutočné servery neboli nikdy dotknuté.
Obchod, ktorý viazne na kontrolnom zozname. Bezpečnostný alebo obstarávací tím väčšieho zákazníka skenuje vašu doménu pred podpisom. “Žiadny CAA záznam” sa zobrazuje ako červená alebo žltá položka vedľa vášho mena. Technicky je to malá vec, ale číta sa ako “nepokrýva základy” a môže spomaliť alebo potopiť zmluvu, ktorú by ste inak získali.
Chytení niekohou iným porušením. Certifikačná autorita, s ktorou ste nikdy neobchodovali, je kompromitovaná — toto nie je hypotetické; DigiNotar, Comodo a Symantec mali všetky vážne incidenty. Pretože ste nikdy neobmedzili, kto môže konať za vás, útočník môže cez túto slabú CA získať platný certifikát pre vašu doménu. CAA záznam by ich odmietol.
Wildcard slepá škvrna. Dokonca aj firmy, ktoré sú opatrné vo vzťahu k svojej hlavnej stránke, často zabúdajú na subdomény. Bez pravidla issuewild útočník, ktorý môže získať wildcard certifikát, efektívne dostane kľúč ku každej subdoméne, ktorú budete mať naraz.

Čo to v skutočnosti je a ako vyzerá ‘dobré’

CAA záznam žije v DNS vašej domény — rovnaké nastavenia, ktoré smerujú vašu doménu na váš web a e-mail. Každý záznam má tri časti: príznak, tag a hodnotu. Dôležité tagy sú:

issue — uvádza certifikačnú autoritu oprávnenú vydávať normálne certifikáty pre vašu doménu. Môžete mať niekoľko, jeden na každého legitímne používaného poskytovateľa.
issuewild — kontroluje wildcard certifikáty (jeden certifikát pokrývajúci každú subdoménu, napr. *.priklad.com). Ak wildcardy nepoužívate, odporúčané nastavenie ich úplne blokuje.
iodef — voliteľná kontaktná adresa, kde budete upozornení, ak certifikačná autorita odmietne žiadosť kvôli vašej CAA politike. Toto je vaše skoré varovanie, že niekto sa pokúsil.

Ako vyzerá ‘dobré’: aspoň jeden issue (alebo issuewild) záznam je prítomný, uvádza poskytovateľa (ov), ktorých skutočne používate, s wildcardmi buď obmedzenými na pomenovaného poskytovateľa alebo zablokovanými. To je štandard, ktorý táto kontrola meria — vyhľadá CAA záznamy vašej domény naprieč niekoľkými nezávislými resolvermi a prejde, keď nájde skutočnú issue alebo issuewild politiku na mieste. Doména so žiadnymi CAA záznamami je považovaná za otvorené dvere, ktorými je.

Ako to opraviť (zadarmo, ~5 minút)

Odovzdajte túto sekciu tomu, kto spravuje vašu doménu alebo web — oprava je zadarmo. Je to malá DNS zmena, nie rekonštrukcia. Účtujeme len ak neskôr chcete, aby sme sledovali, že záznam zostane na mieste; pridanie ho nestojí nič.

Krok 1 — Zistite, ktorú certifikačnú autoritu skutočne používate. Toto je jediný krok, ktorý stojí za správne pochopenie, pretože uvedenie nesprávneho poskytovateľa môže zablokovať ďalšiu obnovu. Bežné prípady:

Let’s Encrypt — používa ho mnoho hostov a ovládacích panelov (cPanel, Plesk) → letsencrypt.org
Cloudflare (ak vydáva váš edge certifikát) → letsencrypt.org, digicert.com, comodoca.com, pki.goog a ssl.com (Cloudflare používa viacero back-end CA; uveďte tie, ktoré zobrazuje jeho ovládací panel, alebo celú sadu, aby obnovy nikdy nezlyhali)
Google Workspace / Google Trust Services → pki.goog
DigiCert → digicert.com
Sectigo / Comodo → sectigo.com (a comodoca.com)
Microsoft 365 / Azure — Microsoft zvyčajne používa DigiCert pre spravované certifikáty → digicert.com (potvrďte vo vašom portáli)

Ak si nie ste istí, pozrite sa na váš aktuálny certifikát v prehliadači (kliknite na zámok → detaily certifikátu → “Vydal”) a uvidíte, kto ho vydal.

Krok 2 — Prihláste sa k vášmu DNS poskytovateľovi. To je tam, kde žijú záznamy vašej domény — zvyčajne váš registrátor, váš webový host alebo Cloudflare. Nájdite sekciu DNS záznamy a zvoľte pridanie nového záznamu typu CAA (niektoré rozhrania ho označujú ako typ 257).

Krok 3 — Pridajte issue záznam pre každého poskytovateľa, ktorého používate. Pre Let’s Encrypt, napríklad:

priklad.com.   CAA   0 issue "letsencrypt.org"

Pridajte jeden issue riadok na každého legitímneho poskytovateľa. Väčšina DNS ovládacích panelov vám poskytuje samostatné polia pre príznak (0), tag (issue) a hodnotu (doménu CA), takže celý riadok nepíšete ručne.

Krok 4 — Kontrola wildcard certifikátov. Ak wildcardy nepoužívate, zablokujte ich úplne, aby ich nikto nemohol ticho získať:

priklad.com.   CAA   0 issuewild ";"

Ak wildcardy používate, namiesto toho uveďte poskytovateľa: 0 issuewild "letsencrypt.org".

Krok 5 — (Odporúčané) Pridajte notifikačnú adresu. Aby ste boli informovaní vždy, keď CA odmietne pokus — vaše skoré varovanie, že niekto sa pokúsil:

priklad.com.   CAA   0 iodef "mailto:[email protected]"

Krok 6 — Uložte a overte. Spustite dig CAA priklad.com (alebo použite akýkoľvek online nástroj na vyhľadávanie DNS) a potvrďte, že vaše záznamy sa objavujú. Zmeny môžu trvať od niekoľkých minút po niekoľko hodín, kým sa rozšíria po internete. Váš existujúci certifikát a všetky obnovy fungujú počas celého procesu — CAA riadi len nové vydávanie.

Rýchle poznámky k platforme: Na Cloudflare, DNS → Záznamy → Pridať záznam → typ CAA. Na Google Workspace, spravujete DNS u vášho registrátora (alebo Cloud DNS ak ho používate) — pridajte tam CAA záznamy s pki.goog. Na Microsoft 365, CAA nie je nastavená v administrátorskom centre M365; pridajte ju tam, kde je hostovaný DNS vašej domény, uvádzajúc váš spravovaný certifikát CA (bežne DigiCert). Na bežných hostoch (GoDaddy, Namecheap a pod.), je to v tom istom paneli DNS, kde žijú vaše A a MX záznamy.

Bežné chyby

Uvedenie nesprávnej CA — alebo zabudnutie na jednu. Najväčšie reálne riziko nie je bezpečnosť, je to blokovanie vlastných obnovení. Ak používate viac ako jedného vydávateľa (napr. jedného pre hlavnú stránku a ďalšieho za Cloudflare), uveďte všetkých. Ak si nie ste istí, uveďte niekoľko, ktorým dôverujete, namiesto príliš málo.
Nastavenie issue, ale ignorovanie wildcardov. Doména, ktorá obmedzuje normálne certifikáty, ale nič nehovorí o wildcardoch, stále zanecháva výkonnejšiu wildcard cestu otvorenú. Vždy nastavte aj issuewild — buď na vášho poskytovateľa alebo na ";" aby ste ho zablokovali.
Umiestnenie CAA na nesprávne meno. CAA je čítaná certifikačnou autoritou pre presné meno, ktoré je certifikované, pohybujúc sa nahor stromom. Nastavenie na vrchole vašej domény (apex, napr. priklad.com) je správnym krokom — predvolene pokrýva subdomény, pokiaľ subdoména nenastaví vlastné.
Predpokladanie, že vaša platforma to už urobila. Cloudflare, Google a Microsoft spravujú certifikáty, ale nepridávajú CAA záznamy za vás. Pokiaľ ste ich nepridali, vaša doména je stále otvorená.
Zaobchádzanie s ňou ako s jednorazovým bez monitorovania. Neskoršia DNS migrácia, zmena registrátora alebo “upratovanie” záznamov môže ticho zahodiť vašu CAA ochranu. Stojí za to skontrolovať, že je stále na mieste po akejkoľvek DNS zmene.

Nastavte to u svojho hostiteľa

Krok za krokom pre populárnych poskytovateľov:

FAQ

Nie som technicky zdatný — môžem to vyriešiť sám?

Nemusíte rozumieť detailom, ale oprava je malá zmena v nastaveniach DNS vašej domény, preto je najlepšie ju odovzdať tomu, kto spravuje váš web alebo doménu. Pošlite im sekciu 'Ako to opraviť' nižšie — je to päťminútová zmena bez nákladov. Účtujeme len ak neskôr chcete, aby sme sledovali, že záznam zostane na mieste; samotná oprava je vždy zadarmo.

Poruší pridanie tohto môj web alebo certifikát?

Nie — pokiaľ uvediete certifikačného poskytovateľa, ktorého skutočne používate, všetko funguje ďalej presne ako predtým. CAA záznam sa nedotýka ani nenahrádza váš existujúci certifikát; len riadi, kto smie vytvárať nové. Jediný spôsob, ako spôsobiť problémy, je vynechať vášho skutočného poskytovateľa zo zoznamu, čo môže zablokovať ďalšiu automatickú obnovu — kroky nižšie sú napísané špeciálne, aby tomu zabránili.

Ak sú certifikáty vydávané automaticky v dnešnej dobe, prečo stále potrebujem toto?

Automatické certifikáty sú v poriadku a pohodlné — problém je, že systém je predvolene otvorený pre všetkých, vrátane niekoho, kto sa vydáva za vás. CAA záznam jednoducho uvádza, komu je dovolené, pričom premieňa otvorené dvere na tie s vašim vlastným zámkom. Funguje spolu s automatickým vydávaním, nie proti nemu.

Ovplyvňuje to moje Google hodnotenie alebo hodnotenie v tomto reporte?

Ovplyvňuje vaše bezpečnostné hodnotenie tu — chýbajúci CAA záznam je hodnotená položka, označená ako medzera so strednou závažnosťou, pretože zanecháva skutočnú cestu na vydávanie sa za vás. Nie je to priamy faktor hodnotenia Google, ale vydávanie sa za vás a phishing, ktorému zabraňuje, sú presne druhy incidentov, ktoré poškodzujú dôveru a prevádzku. V každom prípade je to rýchla, bezplatná výhra.

Aký je rozdiel medzi 'issue' a 'issuewild'?

'issue' záznam kontroluje normálne certifikáty pre vašu doménu a jej subdomény. 'issuewild' záznam kontroluje wildcard certifikáty — jeden certifikát, ktorý pokrýva každú možnú subdoménu naraz (napr. *.priklad.com). Wildcardy sú výkonnejšie a preto v nesprávnych rukách rizikovejšie, preto je dobrou praxou kontrolovať ich oddelene: ak ich nepoužívate, zablokujte ich úplne.

Používame Cloudflare / Google Workspace / Microsoft 365 — je to už pokryté?

Nie automaticky. Tieto platformy spravujú vaše certifikáty za vás, ale pokiaľ ste explicitne nepridali CAA záznamy, vaša doména stále hovorí svetu 'akákoľvek autorita môže vydávať'. Dobrou správou je, že oprava je rovnaká jednoduchá DNS zmena na všetkých z nich a tam, kde Cloudflare alebo váš host vydávajú váš certifikát, jednoducho uvediete tohto poskytovateľa. Poznámky k platforme v sekcii opravy nižšie pokrývajú bežné prípady.