Defaults.Exposed › Düzeltmeler › CAA kayıtları

CAA kayıtları nasıl düzeltilir

CAA kaydı, alan adı ayarlarınızda yer alan ve web siteniz için 'asma kilit' güvenlik sertifikası düzenlemesine hangi sertifika şirketlerinin izinli olduğunu belirten kısa bir talimattır. Açıkken başka hiçbir şirket sizin adınıza geçerli sertifika sessizce oluşturamaz.

İşletmeniz için sonuç: CAA kaydı olmadan, dünya genelindeki yüzlerce sertifika şirketinin neredeyse tamamı, alan adınız için gerçek, tam güvenilir bir asma kilit sertifikası düzenleyebilir — dolandırıcının müşterilerinizin giriş bilgilerini ve kart bilgilerini toplamak için kusursuz, tamamen 'güvenli' görünen bir site klonu kurmasına olanak tanıyarak; ekranda hiçbir uyarı olmaksızın.

Bu size ne mal olabilir

• Dolandırıcı sitenizin bir kopyası için gerçek sertifika alır, böylece yeşil asma kiliti ve HTTPS gösterir — müşterileriniz hiçbir sorun görmez, parolalarını ve kart numaralarını yazar; ve geri ödemeler ve kızgın aramalar başladığında siz öğrenirsiniz.
• Müşterileriniz giriş sayfanızın mükemmel taklidiyle kimlik avına uğrar; sonuç — iadeler, destek yükü, itibar hasarı — gerçek sitenize hiç dokunulmamış olsa bile markanıza yüklenir.
• Potansiyel müşterinin güvenlik veya tedarik ekibi imzalamadan önce alan adınızda hızlı kontrol yapar, CAA koruması görmez ve beş dakikada eklenebilecek bir ayar yüzünden sizi sessizce 'temellerden zayıf' olarak işaretler — anlaşmayı riske atar.
• Dünyanın sertifika şirketlerinden biri ele geçirilir (DigiNotar, Comodo, Symantec'te defalarca yaşandı) ve kim adınıza hareket etme iznine sahip olduğunu hiç belirtmediğinizden alan adınız en zayıf halka olan her şeye açık kalır.

Neden önemlidir. Şu anda kapı ardına kadar açık: Dünyadaki herhangi bir sertifika şirketi, sizin adınıza olduğunu iddia eden bir siteye kefil olabilir — daha önce onlarla muhatap olmuş olup olmadığınızdan bağımsız olarak. CAA kaydı o kapıyı kilitler, böylece yalnızca seçtiğiniz sağlayıcı sertifika düzenleyebilir — işletmenizin çevrimiçi kimliğine bürünmeye karşı var olan en basit ve en ucuz savunmadır.

Sade dille CAA kayıtları

Her güvenli web sitesinin bir sertifikası vardır — tarayıcıdaki asma kilidin ve adresinizin başındaki “https”nin arkasındaki şey. Bu sertifikalar sertifika yetkilileri (CA’lar) adı verilen uzman firmalar tarafından dağıtılır: Let’s Encrypt, DigiCert, Sectigo, Google Trust Services gibi isimler. Tarayıcınız geçerli sertifika gördüğünde asma kilidi gösterir ve müşterinize bağlantının gerçek ve güvenli olduğunu söyler.

Çoğu işletme sahibine hiç söylenmeyen kısım şudur: varsayılan olarak, dünya genelindeki bu yüzlerce sertifika yetkilisinin her biri sizin alan adınız için sertifika düzenleyebilir — onları daha önce duymuş olup olmadığınızdan bağımsız olarak. CAA kaydı (Sertifika Yetkilisi Yetkilendirmesi) alan adınızın DNS ayarlarına eklediğiniz tek satırlık bir nottur, etkin olarak şunu söyler: “yalnızca bu sağlayıcılar benim için sertifika düzenleyebilir.” Her meşru sertifika yetkilisi, endüstri kuralları gereği düzenlemeden önce o notu kontrol etmek ve listede olmamaları durumunda reddetmek zorundadır.

Herkese açık girebileceği kilitlenmemiş ön kapı ile yalnızca seçtiğiniz kişilerin anahtara sahip olduğu kapı arasındaki fark budur. Ve eklenmesi hiçbir şeye mal olmaz.

Size maliyeti ne olabilir

CAA kaydının kapattığı risk inandırıcı kimliğe bürünmedir. Dolandırıcı sitenizin bir kopyası için gerçek sertifika alabildiğinde, alışılmış uyarı işaretleri ortadan kalkar — kırık asma kilit yoktur, “güvenli değil” afişi yoktur, sertifika hatası yoktur. Her şey doğru görünür — ve bu tam olarak tehlikeliyi kılandır.

• Kusursuz sahte. Dolandırıcı benzer görünen bir adres kaydeder (veya müşterilerinize giden rotayı ele geçirir), gerçek sertifika alır ve giriş veya ödeme sayfanızın mükemmel klonunu kurar — asma kilit ve her şey. Müşteriler parolalarını ve kart numaralarını normalde girer. İlk haberdar oluşunuz, bir dizi geri ödeme, dolandırıcılık raporu ve gerçek sunucularınıza hiç dokunulmamış olsa bile kızgın telefon aramalarıyla olur.
• Adınıza kimlik avı kampanyası. Saldırganlar, sitenizin sertifikalı klonuna bağlanan “lütfen hesabınızı onaylayın” e-postaları gönderir. Sayfa tamamen güvenli göründüğünden daha fazla insan tuzağa düşer. Temizlik — müşterileri bilgilendirme, iadeler, destek saatleri, garip kamuoyu açıklaması — gerçek sunucularınıza hiç dokunulmamış olsa bile size kalır.
• Kontrol listesinde duran anlaşma. Daha büyük bir müşterinin güvenlik veya tedarik ekibi imzalamadan önce alan adınızı tarar. “CAA kaydı yok” adınızın yanında kırmızı veya kehribar öğe olarak çıkar. Teknik olarak küçük bir şeydir, ama “temelleri kapsamıyor” olarak okunur ve aksi takdirde kazanacağınız bir sözleşmeyi yavaşlatabilir veya batırabilir.
• Başkasının ihlaliyle yakalanmak. Hiç muhatap olmadığınız bir sertifika yetkilisi ele geçirilir — bu varsayımsal değildir; DigiNotar, Comodo ve Symantec’in hepsinde ciddi olaylar yaşandı. Kimlerin sizin adınıza hareket edeceğini hiçbir zaman kısıtlamadığınızdan, saldırgan o zayıf CA üzerinden alan adınız için geçerli sertifika alabilir. CAA kaydı onları reddedecekti.
• Joker kör noktası. Ana siteleri konusunda dikkatli olan işletmeler bile genellikle alt alan adlarını unutur. issuewild kuralı olmadan, joker sertifika alabilen bir saldırgan aynı anda sahip olacağınız her alt alan adının anahtarını etkili biçimde alır.

Bunların hiçbiri sunucularınıza sofistike bir saldırı gerektirmez. CAA kaydı olmadığında daha geniş sertifika sisteminin sizin adınıza sadece çok güvenilir olmasını istismar ederler.

Teknik olarak nedir ve “iyi” neye benziyor

CAA kaydı, alan adınızın DNS’sinde yaşar — alan adınızı web sitenize ve e-postanıza yönlendiren aynı ayarlar. Her kaydın üç parçası vardır: bir bayrak, bir etiket ve bir değer. Önem taşıyan etiketler:

• issue — alan adınız için normal sertifika düzenlemesine izin verilen sertifika yetkilisini adlandırır. Meşru olarak kullandığınız her sağlayıcı için birden fazla olabilir.
• issuewild — joker sertifikaları (her alt alan adını kapsayan tek sertifika, ör. *.example.com) kontrol eder. Joker sertifika kullanmıyorsanız önerilen ayar bunları tamamen engeller.
• iodef — bir sertifika yetkilisi, CAA politikanız nedeniyle bir isteği reddettiğinde bildirim alacağınız isteğe bağlı iletişim adresi. Bu, birinin denediğine dair erken uyarınızdır.

“İyi” neye benziyor: en az bir issue (veya issuewild) kaydı mevcut, gerçekten kullandığınız sağlayıcı(lar)ı adlandırıyor, joker sertifikalar ya adlandırılmış sağlayıcıyla kısıtlanmış ya da engellenmiş. Bu kontrolün ölçtüğü çıta budur — alan adınızın CAA kayıtlarını birkaç bağımsız çözücü üzerinden arar ve gerçek bir issue veya issuewild politikası bulduğunda geçer. Hiç CAA kaydı olmayan alan adı olduğu gibi açık kapı olarak değerlendirilir.

Bu notumu etkiler mi? Evet. Eksik CAA kaydı puanlanan bir öğedir ve orta önem derecesiyle işaretlenir — gerçek bir kimliğe bürünme yolunu açık bıraktığı için yalnızca güzel bir ek özellik değil, gerçek bir açıktır. Kaydı eklemek açığı kapatır ve bulguyu temizler.

Nasıl düzeltilir (ücretsiz, ~5 dakika)

Bu bölümü alan adınızı veya web sitenizi yöneten kişiye iletin — düzeltme ücretsizdir. Yeniden yapılandırma değil, küçük bir DNS değişikliği. Yalnızca kaydın yerinde kalmasını izlemek isterseniz ücret alıyoruz; eklenmesi hiçbir şeye mal olmaz.

1. Adım — Gerçekte hangi sertifika yetkilisini kullandığınızı öğrenin. Bunu doğru yapmak değerlidir, çünkü yanlış sağlayıcıyı listelemek bir sonraki yenilemenizi engelleyebilir. Yaygın durumlar:

• Let’s Encrypt — birçok barındırıcı ve kontrol paneli (cPanel, Plesk) tarafından kullanılır → letsencrypt.org
• Cloudflare (kenar sertifikanızı düzenliyorsa) → letsencrypt.org, digicert.com, comodoca.com, pki.goog ve ssl.com (Cloudflare birden fazla arka uç CA kullanır; kontrol panelinin gösterdiklerini veya tam setini listeleyin, böylece yenilemeler hiçbir zaman bozulmaz)
• Google Workspace / Google Trust Services → pki.goog
• DigiCert → digicert.com
• Sectigo / Comodo → sectigo.com (ve comodoca.com)
• Microsoft 365 / Azure — Microsoft yönetilen sertifikalar için genellikle DigiCert kullanır → digicert.com (portalınızda doğrulayın)

Emin değilseniz, tarayıcıda mevcut sertifikanıza bakın (asma kilit → sertifika ayrıntıları → “Düzenleyen”) ve kim düzenlediğini görün.

2. Adım — DNS sağlayıcınıza giriş yapın. Alan adınızın kayıtlarının yaşadığı yer burası — genellikle kayıt şirketiniz, web barındırıcınız veya Cloudflare. DNS kayıtları bölümünü bulun ve CAA türünde yeni kayıt eklemeyi seçin (bazı arayüzler bunu 257 türü olarak etiketler).

3. Adım — Kullandığınız her sağlayıcı için issue kaydı ekleyin. Örneğin Let’s Encrypt için:

example.com.   CAA   0 issue "letsencrypt.org"

Her meşru sağlayıcı için bir issue satırı ekleyin. Çoğu DNS gösterge tablosu bayrak (0), etiket (issue) ve değer (CA’nın alan adı) için ayrı kutular verir, dolayısıyla tüm satırı elle yazmanıza gerek kalmaz.

4. Adım — Joker sertifikaları kontrol edin. Joker sertifika kullanmıyorsanız, kimsenin sessizce alamaması için tamamen engelleyin:

example.com.   CAA   0 issuewild ";"

Joker sertifika kullanıyorsanız, bunun yerine sağlayıcıyı adlandırın: 0 issuewild "letsencrypt.org".

5. Adım — (Önerilen) Bildirim adresi ekleyin. Bir CA isteği reddettiğinde — birinin denediğine dair erken uyarınız — haberdar olmak için:

example.com.   CAA   0 iodef "mailto:[email protected]"

6. Adım — Kaydedin ve doğrulayın. dig CAA example.com komutunu çalıştırın (veya herhangi bir çevrimiçi DNS arama aracı kullanın) ve kayıtlarınızın göründüğünü doğrulayın. Değişiklikler internetde yayılmak için birkaç dakikadan birkaç saate kadar sürebilir. Mevcut sertifikanız ve tüm yenilemeler boyunca çalışmaya devam eder — CAA yalnızca yeni verilmeyi yönetir.

Platform kısa notları: Cloudflare’de, DNS → Kayıtlar → Kayıt ekle → CAA türü. Google Workspace’te DNS’i kayıt şirketinizde (veya kullanıyorsanız Cloud DNS’te) yönetirsiniz — CAA kayıtlarını pki.goog ile oraya ekleyin. Microsoft 365’te CAA, M365 yönetici merkezinde ayarlanmaz; alan adınızın DNS’inin barındırıldığı yere (genellikle DigiCert) yönetilen sertifika CA’nızı listeleyerek ekleyin. Yaygın barındırıcılarda (GoDaddy, Namecheap ve benzerleri), A ve MX kayıtlarınızın bulunduğu DNS panelindedir.

Yaygın hatalar

• Yanlış CA listelemek — veya birini unutmak. En büyük gerçek dünya riski güvenlik değil, kendi yenilemelerinizi engellemektir. Birden fazla düzenleyici kullanıyorsanız (ör. ana site için bir tane, Cloudflare’nin arkasında başka bir tane), hepsini listeleyin. Emin olmadığınızda, çok azdan ziyade güvendiğiniz birkaçını listeleyin.
• issue ayarlamak ama joker sertifikaları görmezden gelmek. Normal sertifikaları kısıtlayan ama joker sertifikalar hakkında hiçbir şey söylemeyen alan adı hâlâ daha güçlü joker yolu açık bırakır. Her zaman issuewild da ayarlayın — ya sağlayıcınıza ya da engellemek için ";" olarak.
• CAA’yı yanlış ada koymak. CAA, sertifika yetkilisi tarafından sertifikalandırılan tam ad için okunur, ağaçta yukarı doğru çıkarak. Bunu alan adınızın tepesinde (“apex”, ör. example.com) ayarlamak doğru harekettir — varsayılan olarak alt alan adlarını kapsar, yani bir alt alan adı kendi başına ayarlamadıkça.
• Platformunuzun zaten yaptığını varsaymak. Cloudflare, Google ve Microsoft sertifikaları yönetir ama sizin için CAA kayıtları eklemez. Onları siz eklemedikçe alan adınız hâlâ açık.
• Hiçbir izleme olmadan bir kez yapılan iş gibi muamele etmek. Sonraki DNS geçişi, kayıt şirketi değişikliği veya kayıtların “düzenlenmesi” CAA korumanızı sessizce düşürebilir. Herhangi bir DNS değişikliğinden sonra hâlâ orada olduğunu kontrol etmeye değer.

Sunucunuzda kurun

Popüler sağlayıcılar için adım adım:

• GoDaddy üzerinde CAA kurun
• Namecheap üzerinde CAA kurun
• Cloudflare üzerinde CAA kurun
• AWS Route 53 üzerinde CAA kurun

SSS