Defaults.Exposed › Rešenja › CAA zapisi

Kako popraviti CAA zapisi

CAA zapis je kratka instrukcija u vašim domenskim podešavanjima koja imenuje koje certificirane kompanije smiju izdavati 'katanac' bezbednosni sertifikat za vaš sajt. S njim uključenim, nijedna druga kompanija ne može tiho kreirati valjani sertifikat u vaše ime.

Suština za vaše poslovanje: Bez CAA zapisa, skoro bilo koja od stotina kompanija za sertifikate širom svijeta može izdati pravi, potpuno-pouzdani katanac sertifikat za vaš domen — dopuštajući prevarantu da postavi besprijekornu, potpuno 'sigurnu'-izgledeću kopiju vašeg sajta za skupljanje login detalja i kartičnih podataka vaših kupaca, s ničim na ekranu da ih upozori.

Šta vam ovo može koštati

• Prevarant dobiva pravi sertifikat za kopiju vašeg sajta, pa prikazuje zeleni katanac i HTTPS — vaši kupci ne vide ništa sumnjivo, upisuju lozinke i brojeve kartica, i za to saznate tek kad počnu pristizati chargebacki i ljutiti pozivi.
• Vaši kupci bivaju phishirani putem pixel-savršene kopije vaše login stranice; posljedice — povrati, opterećenje podrške, reputacioni udar — padaju na vaš brend iako vaš pravi sajt nikad nije dotaknut.
• Bezbednosni ili nabavni tim potencijalnog kupca vrši brzu provjeru vašeg domena pre potpisivanja, vidi da nema CAA zaštite i tiho vas ocjenjuje kao 'slabi na osnovama' — ugrožavajući posao zbog podešavanja koje traje pet minuta za dodavanje.
• Jedna od svjetskih kompanija za sertifikate biva kompromitovana (ovo se dešavalo više puta — DigiNotar, Comodo, Symantec), i jer nikad niste rekli ko smije djelovati u vaše ime, vaš domen je izložen onoj koja se pokaže najslabijom karikom.

Zašto je to važno. Trenutno su vrata širom otvorena: bilo koja kompanija za sertifikate na Zemlji može jam-čiti za sajt koji tvrdi da je vaš, bez obzira da li ste ikad imali posla s njima. CAA zapis zaključava ta vrata tako da samo provajder koji ste izabrali može izdavati sertifikate — to je najjednostavnija, najjeftinija odbrana od toga da neko imitira vaše preduzeće online.

CAA zapisi, jednostavnim rečima

Svaki siguran sajt ima sertifikat — stvar iza katanca u pretraživaču i “https” na početku vaše adrese. Te sertifikate dijele specijalizovane firme zvane certificirane vlasti (CAs): nazivi poput Let’s Encrypt, DigiCert, Sectigo, Google Trust Services. Kad vaš pretraživač vidi valjani sertifikat, prikazuje katanac i govori vašem kupcu da je veza prava i bezbedna.

Evo dijela koji većina vlasnika preduzeća nikad nije čula: po defaultu, stotine ovih certificiranih vlasti širom svijeta je svaka dozvoljeno da izda sertifikat za vaš domen — bez obzira da li ste ikad čuli za njih. CAA zapis (Certification Authority Authorization) je jednolinijska bilješka koju dodajete u DNS podešavanja vašeg domena koja u suštini kaže, “samo ovi provajderi smiju izdavati sertifikate za mene.” Svaka legitimna certificirana vlast je obavezna industrijskim pravilima da provjeri tu bilješku pre izdavanja — i da odbije ako nije na vašoj listi.

To je razlika između nezaključanih prednjih vrata kroz koje svako može proći i onih gdje samo vi izabrani ljudi drže ključ. I ništa ne košta za dodati.

Šta vam ovo može koštati

Rizik koji CAA zapis zatvara je uvjerljivo imitiranje. Kad prevarant može dobiti pravi sertifikat za kopiju vašeg sajta, uobičajeni znakovi upozorenja nestaju — nema pokvarenog katanca, nema “nije bezbedno” bannera, nema greške sertifikata. Sve izgleda ispravno, što je tačno ono što ga čini opasnim.

• Besprijekorna lažna kopija. Prevarant registruje slično-izgledeću adresu (ili kompromituje rutu do vaših kupaca), dobiva pravi sertifikat i postavlja savršenu kopiju vaše login ili checkout stranice — s katancem i svim. Kupci upisuju lozinke i kartične podatke normalno. Prvo za to saznate je val chargebackova, prijava prevara i ljutitih telefonskih poziva.

• Phishing kampanja u vaše ime. Napadači šalju “molimo potvrdite nalog” emailove koji linkuju ka njihovoj certifikovanoj kopiji vašeg sajta. Jer stranica izgleda potpuno bezbedno, više ljudi nasjedne. Čišćenje — obavještavanje kupaca, povrati, sati podrške, nezgodno javno objašnjenje — sve pada na vas, iako vaši pravi serveri nikad nisu bili dirnuti.

• Posao koji zastaje na listi. Bezbednosni ili nabavni tim većeg kupca skenira vaš domen pre potpisivanja. “Nema CAA zapisa” se pojavljuje kao crvena ili narandžasta stavka pored vašeg imena. Tehnički je mala stvar, ali čita se kao “ne pokriva osnove” i može usporiti ili potopiti ugovor koji biste inače dobili.

• Uhvaćeni od nečijeg tuđeg proboja. Certificirana vlast s kojom nikad niste imali posla biva kompromitovana — ovo nije hipotetičko; DigiNotar, Comodo i Symantec su svi imali ozbiljne incidente. Jer nikad niste ograničili ko smije djelovati za vas, napadač može dobiti valjani sertifikat za vaš domen putem te slabe CA. CAA zapis bi ih odbio.

• Wildcard slijepa tačka. Čak i preduzeća koja su pažljiva s glavnim sajtom često zaboravljaju poddomene. Bez issuewild pravila, napadač koji može dobiti wildcard sertifikat efektivno dobiva ključ za svaku poddomen koju ćete ikad imati odjednom.

Ništa od ovoga ne zahtijeva sofisticirani napad na vaše servere. Iskorišćava činjenicu da je, bez CAA zapisa, širi sistem sertifikata jednostavno previše povjeren u vaše ime.

Šta je to zapravo i kako izgleda “dobro”

CAA zapis živi u DNS-u vašeg domena — istim podešavanjima koja pokazuju vaš domen na vaš sajt i imejl. Svaki zapis ima tri dijela: zastavicu, tag i vrijednost. Tagovi koji su bitni su:

• issue — imenuje certificiranu vlast dozvoljenu da izdaje normalne sertifikate za vaš domen. Možete imati nekoliko, po jedan za svakog provajdera koji legitimno koristite.
• issuewild — kontroliše wildcard sertifikate (jedan sertifikat koji pokriva svaku poddomen, npr. *.example.com). Ako ne koristite wildcardove, preporučena postavka ih potpuno blokira.
• iodef — opcionalna kontaktna adresa gdje ćete biti obaviješteni ako certificirana vlast odbije zahtjev zbog vaše CAA politike. Ovo je vaše rano upozorenje da je neko pokušao.

Kako izgleda “dobro”: barem jedan issue (ili issuewild) zapis je prisutan, imenujući provajdere koje zaista koristite, s wildcardovima ili ograničenim na imenovanog provajdera ili blokiranim. To je standard koji ova provjera mjeri — traži CAA zapise vašeg domena kroz nekoliko nezavisnih resolvera i prolazi kad pronađe pravu issue ili issuewild politiku. Domen bez ikakvih CAA zapisa tretira se kao otvorena vrata koja i jesu.

Utiče li ovo na moju ocjenu? Da. Nedostajući CAA zapis je bodovana stavka i flagovana je kao srednja ozbiljnost — to je prava praznina, ne samo “lijepo-za-imati”, jer ostavlja pravu rutu za imitiranje otvorenu. Dodavanje zapisa zatvara prazninu i briše nalaz.

Kako popraviti (besplatno, ~5 minuta)

Prosledite ovaj odeljak ko god upravlja vašim domenom ili sajtom — popravka je besplatna. To je mala DNS promjena, ne rebuild. Naplaćujemo jedino ako kasnije željite da pratimo ostaje li zapis na snazi; dodavanje ničeg ne košta.

Korak 1 — Saznajte koju certificiranu vlast zaista koristite. Ovo je jedini korak vrijedan pažnje, jer navođenje pogrešnog provajdera može blokirati vašu sljedeću obnovu. Uobičajeni slučajevi:

• Let’s Encrypt — koristi ga mnogo hostova i control panela (cPanel, Plesk) → letsencrypt.org
• Cloudflare (ako izdaje vaš edge sertifikat) → letsencrypt.org, digicert.com, comodoca.com, pki.goog i ssl.com (Cloudflare koristi više backend CA-ova; navedite one koje pokazuje njegov dashboard, ili cijeli skup, da se obnove nikad ne kvare)
• Google Workspace / Google Trust Services → pki.goog
• DigiCert → digicert.com
• Sectigo / Comodo → sectigo.com (i comodoca.com)
• Microsoft 365 / Azure — Microsoft obično koristi DigiCert za managed sertifikate → digicert.com (potvrdite u svom portalu)

Ako niste sigurni, pogledajte vaš trenutni sertifikat u pretraživaču (kliknite katanac → detalji sertifikata → “Izdao”) da vidite ko ga je izdao.

Korak 2 — Prijavite se u vašeg DNS provajdera. Ovo je gdje god žive zapisi vašeg domena — obično vaš registrar, vaš web host ili Cloudflare. Pronađite odeljak DNS zapisa i izaberite dodavanje novog zapisa tipa CAA (neki interfejsi ga označavaju tipom 257).

Korak 3 — Dodajte issue zapis za svakog provajdera koji koristite. Za Let’s Encrypt, na primjer:

example.com.   CAA   0 issue "letsencrypt.org"

Dodajte jednu issue liniju po legitimnom provajderu. Većina DNS dashboarda vam daje odvojene okvire za zastavicu (0), tag (issue) i vrijednost (domen CA-a) pa ne morate sami kucati cijelu liniju.

Korak 4 — Kontrolišite wildcard sertifikate. Ako ne koristite wildcardove, blokirajte ih u potpunosti da niko ne može tiho dobiti jedan:

example.com.   CAA   0 issuewild ";"

Ako koristite wildcardove, umjesto toga imenujte provajdera: 0 issuewild "letsencrypt.org".

Korak 5 — (Preporučeno) Dodajte adresu za obavještenja. Da budete obaviješteni kad god CA odbije pokušaj — vaše rano upozorenje da je neko pokušao:

example.com.   CAA   0 iodef "mailto:[email protected]"

Korak 6 — Sačuvajte i verifikujte. Pokrenite dig CAA example.com (ili koristite bilo koji online DNS lookup alat) i potvrdite da se vaši zapisi pojavljuju. Promjene mogu potrajati od nekoliko minuta do nekoliko sati da se prošire po internetu. Vaš postojeći sertifikat i sve obnove nastavljaju raditi — CAA reguliše samo novo izdavanje.

Platform kratke napomene: Na Cloudflare, DNS → Records → Add record → type CAA. Na Google Workspace, upravljate DNS-om kod vašeg registrara (ili Cloud DNS ako ga koristite) — dodajte CAA zapise tamo s pki.goog. Na Microsoft 365, CAA se ne postavlja u M365 admin centru; dodajte ga gdje god je DNS vašeg domena hostovan, navodeci vaš managed-certificate CA (obično DigiCert). Na uobičajenim hostovima (GoDaddy, Namecheap, i sl.), nalazi se u istom DNS panelu gdje žive vaši A i MX zapisi.

Česte greške

• Navođenje pogrešnog CA-a — ili zaboravljanje jednog. Najveći stvarni rizik nije bezbednost, to je blokiranje vlastitih obnova. Ako koristite više od jednog issuera (npr. jedan za glavni sajt i drugi iza Cloudflare-a), navedite ih sve. Kad niste sigurni, navedite nekoliko kojima vjerujete umjesto premalo.
• Postavljanje issue ali ignorisanje wildcardova. Domen koji ograničava normalne sertifikate ali ništa ne govori o wildcardovima i dalje ostavlja moćniju wildcard rutu otvorenom. Uvijek postavite i issuewild — ili na vašeg provajdera ili na ";" za blokiranje.
• Postavljanje CAA-a na pogrešno ime. CAA čita certificirana vlast za tačno ime koje se certifikuje, hodajući gore po stablu. Postavljanje na vrhu vašeg domena (tzv. “apex,” npr. example.com) je pravi potez — pokriva poddomene po defaultu osim ako poddomen ne postavi vlastiti.
• Pretpostavljanje da je vaša platforma to već uradila. Cloudflare, Google i Microsoft upravljaju sertifikatima ali ne dodaju CAA zapise za vas. Osim ako ste ih dodali, vaš domen je i dalje otvoren.
• Tretiranje kao jednom-pa-gotovo bez praćenja. Kasnija DNS migracija, promjena registrara ili “sređivanje” zapisa mogu tiho ukloniti vašu CAA zaštitu. Vrijedi provjeriti da je i dalje tu nakon bilo koje DNS promjene.

Tehnički sloj (prosledite vašoj IT osobi)

CAA je definisan u RFC 8659 i primjenjuje se pod CA/Browser Forum Baseline Requirements — svaka javno-pouzdana CA je obavezna provjeriti CAA u vrijeme izdavanja. Zapisi imaju oblik <zastavice> <tag> <vrijednost>, s tagovima issue, issuewild i iodef. Neprazna issue ili issuewild politika je ono što zadovoljava ovu provjeru; prisustvo samog iodef ne (to je izvještavanje, ne autorizacija).

Solidna polazna tačka na apexu:

example.com.   CAA   0 issue "letsencrypt.org"
example.com.   CAA   0 issuewild ";"
example.com.   CAA   0 iodef "mailto:[email protected]"

Napomene za implementatora:

• CAA tree-climbing: CAs evaluiraju CAA od zahtijevanog FQDN-a gore do apexa, stajući na prvom imenu s postavljenim CAA zapisom. Zapis na apexu stoga štiti sve poddomene osim ako poddomen ne objavi vlastiti, što može — korisno ako specifična poddomen koristi drugog issuera.
• Vrijednost ; u issuewild znači “nijedan CA ne smije izdavati wildcardove” — eksplicitna zabrana. Koristite je kad wildcardovi nisu dio vašeg postava.
• Zastavica 0 je issuer-critical zastavica; 0 (non-critical) je ispravno za normalnu upotrebu. Izbjegavajte postavljanje critical bita osim ako ga u potpunosti ne razumijete, jer nerazumjeti critical tag može uzrokovati da konformni CAs odbijaju izdavanje.
• Više issuera: nekoliko issue zapisa je dozvoljeno i aditivno — navedite svaki CA koji je legitimno u vašem stacku (uključujući backend CAs koje vaš CDN/edge provajder koristi) da spriječite greške pri obnovi.
• Verifikacija: dig CAA example.com +short, ili provjerite putem CA/Browser Forum CAA test alata. Ova provjera sama traži CAA kroz nekoliko nezavisnih resolvera (lokalni DNS, pa Google, Cloudflare i Quad9 DNS-over-HTTPS kao fallback) i prihvata prvi autoritativni odgovor, pa jedan resolver outage neće producirati lažni “nema CAA” rezultat.
• DNSSEC uparivanje: CAA govori CAs ko smije izdavati; DNSSEC sprečava da se sam CAA odgovor falsifikuje u tranzitu. Komplementarni su — za visoko-vrijedne domene, pokrenite oboje.

Podesite na svom hostingu

Korak po korak za popularne provajdere:

• Podesite CAA na GoDaddy
• Podesite CAA na Namecheap
• Podesite CAA na Cloudflare
• Podesite CAA na AWS Route 53

Često postavljana pitanja