Defaults.Exposed › Виправлення › CAA records

Як виправити CAA records

CAA-запис — це короткий вказівник у налаштуваннях вашого домену, що називає, яким сертифікаційним компаніям дозволено видавати сертифікат «замку» безпеки для вашого сайту. З його увімкненням жодна інша компанія не може тихо створити дійсний сертифікат від вашого імені.

Висновок для вашого бізнесу: Без CAA-запису майже будь-яка з сотень сертифікаційних компаній у всьому світі може видати справжній, повністю довірений сертифікат замку для вашого домену — дозволяючи шахраю створити бездоганний, повністю «захищений» клон вашого сайту для збору логінів і карткових даних ваших клієнтів, без жодного попередження на їхньому екрані.

Що це може вам коштувати

• Шахрай отримує справжній сертифікат для копії вашого сайту, тому він показує зелений замок і HTTPS — ваші клієнти нічого не помічають, вводять свої паролі та номери карток, і ви дізнаєтеся про це лише коли надходять chargeback-и та розлючені дзвінки.
• Ваші клієнти потрапляють у фішинг через піксельно-досконалу копію вашої сторінки входу; наслідки — повернення коштів, навантаження на підтримку, шкода репутації — падають на ваш бренд, хоча ваш справжній сайт ніколи не торкався.
• Служба безпеки або закупівель потенційного клієнта виконує швидку перевірку вашого домену перед підписанням, бачить відсутній захист CAA і тихо ставить відмітку 'слабкий щодо основ' — ставлячи угоду під ризик через налаштування, яке займає п'ять хвилин для додавання.
• Одна з сертифікаційних компаній світу скомпрометована (це вже траплялося неодноразово), і оскільки ви ніколи не вказали, хто має право діяти від вашого імені, ваш домен розкритий будь-якому, хто виявиться найслабшою ланкою.

Чому це важливо. Прямо зараз двері широко відкриті: будь-яка сертифікаційна компанія на Землі може поручитися за сайт, що претендує бути вашим, незалежно від того, чи мали ви з ними справу. CAA-запис замикає цей двері, щоб лише вибраний вами провайдер міг видавати сертифікати — це найпростіший, найдешевший захист від того, щоб хтось видавав себе за ваш бізнес онлайн.

CAA-записи простими словами

Кожен захищений сайт має сертифікат — те, що стоїть за замком у браузері та «https» на початку вашої адреси. Ці сертифікати видаються спеціалізованими фірмами, що називаються сертифікаційними органами (CA): такими іменами, як Let’s Encrypt, DigiCert, Sectigo, Google Trust Services. Коли ваш браузер бачить дійсний сертифікат, він показує замок і каже вашому клієнту, що з’єднання є справжнім і захищеним.

Ось частина, про яку більшість власників бізнесу ніколи не чули: за замовчуванням, сотні цих сертифікаційних органів по всьому світу кожен мають право видати сертифікат для вашого домену — незалежно від того, чи чули ви про них. CAA-запис (Certification Authority Authorization) — це однорядкова замітка, яку ви додаєте до DNS-налаштувань вашого домену, що говорить по суті: «лише ці провайдери мають право видавати для мене сертифікати». Кожен легітимний сертифікаційний орган зобов’язаний за правилами галузі перевіряти цю замітку перед видачею — і відмовляти, якщо їх немає у вашому списку.

Це різниця між незамкненими вхідними дверима, через які може пройти будь-хто, і тими, де тільки люди, яких ви вибрали, мають ключ. І це нічого не коштує для додавання.

Що це може коштувати вам

Ризик, який закриває CAA-запис, — це переконливе видавання себе. Коли шахрай може отримати справжній сертифікат для копії вашого сайту, звичайні попереджувальні знаки зникають — немає зламаного замку, немає банера «небезпечно», немає помилки сертифіката. Все виглядає правильно, що саме і робить це небезпечним.

• Бездоганна підробка. Шахрай реєструє адресу-двійника (або компрометує шлях до ваших клієнтів), отримує справжній сертифікат і створює ідеальний клон вашої сторінки входу або каси — із замком і все. Клієнти вводять паролі та номери карток як звичайно. Перше, що ви чуєте про це, — хвиля chargeback-ів, звітів про шахрайство та розлючених дзвінків.
• Фішингова кампанія у вашому імені. Зловмисники надсилають листи «підтвердіть свій обліковий запис», що ведуть на їхній сертифікований клон вашого сайту. Оскільки сторінка виглядає повністю захищеною, більше людей попадаються. Наслідки — повідомлення клієнтів, повернення коштів, години підтримки, незручне публічне пояснення — все падає на вас, хоча ваші справжні сервери ніколи не торкалися.
• Угода, що зависає на чеклисті. Служба безпеки або закупівель більшого клієнта сканує ваш домен перед підписанням. «Немає CAA-запису» з’являється як червоний або жовтогарячий пункт поруч з вашим іменем. Технічно це маленька річ, але читається як «не покриває основи», і це може сповільнити або знищити контракт, який ви б інакше виграли.
• Застряти через чиюсь витоку. Сертифікаційний орган, з яким ви ніколи не мали справи, скомпрометований — це не гіпотетично; DigiNotar, Comodo і Symantec мали серйозні інциденти. Оскільки ви ніколи не обмежили, хто може діяти від вашого імені, зловмисник може отримати дійсний сертифікат для вашого домену через цей слабкий CA. CAA-запис відмовив би їм.
• Сліпа пляма підстановного знаку. Навіть компанії, які ретельні щодо свого основного сайту, часто забувають про поддомени. Без правила issuewild зловмисник, який може отримати підстановний сертифікат, ефективно отримує ключ до кожного поддомену, який у вас коли-небудь буде, одночасно.

Жоден з них не вимагає складної атаки на ваші сервери. Вони використовують те, що без CAA-запису ширша сертифікаційна система просто занадто довіряє від вашого імені.

Що це насправді є і як виглядає «добре»

CAA-запис живе у DNS вашого домену — ті самі налаштування, що вказують ваш домен на ваш сайт та пошту. Кожен запис має три частини: прапор, тег і значення. Теги, що мають значення:

• issue — називає сертифікаційний орган, якому дозволено видавати звичайні сертифікати для вашого домену. У вас може бути кілька, по одному на кожного провайдера, яким ви законно користуєтеся.
• issuewild — контролює підстановні сертифікати (один сертифікат, що покриває кожен піддомен, наприклад *.example.com). Якщо ви не використовуєте підстановні знаки, рекомендоване налаштування блокує їх повністю.
• iodef — необов’язкова адреса контакту, куди вас повідомлять, якщо сертифікаційний орган відхилить запит через вашу CAA-політику. Це ваше раннє попередження, що хтось намагався.

Як виглядає «добре»: присутній принаймні один запис issue (або issuewild), що називає провайдера(ів), яким ви насправді користуєтеся, з підстановними знаками, або обмеженими до іменованого провайдера, або заблокованими. Це планка, яку вимірює ця перевірка — вона шукає ваші CAA-записи і проходить, коли знаходить реальну issue або issuewild політику на місці. Домен без жодних CAA-записів взагалі вважається відкритими дверима, якими він є.

Чи впливає це на мою оцінку? Так. Відсутній CAA-запис є оцінюваним пунктом і позначається як середня серйозність — це справжня прогалина, а не просто бажане, бо вона залишає реальний шлях видавання себе відкритим. Додавання запису закриває прогалину і знімає знахідку.

Як це виправити (безкоштовно, ~5 хвилин)

Передайте цей розділ тому, хто керує вашим доменом або сайтом — виправлення безкоштовне. Це невелика DNS-зміна, а не переробка. Ми беремо плату лише якщо ви пізніше хочете, щоб ми продовжували стежити за тим, що запис залишається на місці; додавання нічого не коштує.

Крок 1 — З’ясуйте, яким сертифікаційним органом ви насправді користуєтеся. Це єдиний крок, який варто виконати правильно, бо перелік неправильного провайдера може заблокувати ваше наступне поновлення. Поширені випадки:

• Let’s Encrypt — використовується багатьма хостами та панелями керування (cPanel, Plesk) → letsencrypt.org
• Cloudflare (якщо він видає ваш крайовий сертифікат) → letsencrypt.org, digicert.com, comodoca.com, pki.goog та ssl.com (Cloudflare використовує кілька резервних CA; перелічіть ті, що показує його інформаційна панель, або повний набір, щоб поновлення ніколи не ламалися)
• Google Workspace / Google Trust Services → pki.goog
• DigiCert → digicert.com
• Sectigo / Comodo → sectigo.com (та comodoca.com)
• Microsoft 365 / Azure — Microsoft зазвичай використовує DigiCert для керованих сертифікатів → digicert.com (підтвердіть у вашому порталі)

Якщо не впевнені, подивіться на ваш поточний сертифікат у браузері (натисніть замок → деталі сертифіката → «Видано») щоб побачити, хто його видав.

Крок 2 — Увійдіть до вашого DNS-провайдера. Це там, де живуть записи вашого домену — зазвичай ваш реєстратор, ваш веб-хост або Cloudflare. Знайдіть розділ DNS-записів і виберіть додавання нового запису типу CAA (деякі інтерфейси позначають його як тип 257).

Крок 3 — Додайте запис issue для кожного провайдера, яким ви користуєтеся. Наприклад, для Let’s Encrypt:

example.com.   CAA   0 issue "letsencrypt.org"

Додайте один рядок issue на кожного легітимного провайдера. Більшість DNS-панелей дають вам окремі поля для прапора (0), тега (issue) та значення (домен CA), тому ви не вводите весь рядок вручну.

Крок 4 — Контролюйте підстановні сертифікати. Якщо ви не використовуєте підстановні знаки, заблокуйте їх повністю, щоб ніхто не міг тихо отримати один:

example.com.   CAA   0 issuewild ";"

Якщо ви використовуєте підстановні знаки, замість цього назвіть провайдера: 0 issuewild "letsencrypt.org".

Крок 5 — (Рекомендовано) Додайте адресу повідомлення. Щоб вас повідомляли кожен раз, коли CA відхиляє спробу — ваше раннє попередження, що хтось намагався:

example.com.   CAA   0 iodef "mailto:[email protected]"

Крок 6 — Збережіть і перевірте. Запустіть dig CAA example.com (або використайте будь-який онлайн-інструмент DNS-пошуку) і підтвердіть, що ваші записи з’явилися. Зміни можуть поширюватися від кількох хвилин до кількох годин по всьому інтернету. Ваш існуючий сертифікат і всі поновлення продовжують працювати протягом усього часу — CAA регулює лише нову видачу.

Швидкі примітки по платформі: На Cloudflare — DNS → Records → Add record → тип CAA. На Google Workspace ви керуєте DNS у вашого реєстратора (або Cloud DNS, якщо ви його використовуєте) — додайте CAA-записи там з pki.goog. На Microsoft 365 CAA не встановлюється в центрі адміністратора M365; додайте його там, де розміщується DNS вашого домену, перераховуючи ваш CA керованих сертифікатів (зазвичай DigiCert). На звичайних хостах (GoDaddy, Namecheap тощо) це в тій самій DNS-панелі, де знаходяться ваші A- та MX-записи.

Поширені помилки

• Перелік неправильного CA — або забуття одного. Найбільший реальний ризик — не безпека, а блокування власних поновлень. Якщо ви використовуєте більше одного видавця (наприклад, один для основного сайту і інший за Cloudflare), перелічіть їх всіх. Якщо сумніваєтеся, перелічіть кілька, яким довіряєте, а не занадто мало.
• Встановлення issue, але ігнорування підстановних знаків. Домен, що обмежує звичайні сертифікати, але нічого не говорить про підстановні знаки, все одно залишає більш потужний шлях підстановного знаку відкритим. Завжди встановлюйте issuewild також — або вашому провайдеру, або ";" для блокування.
• Розміщення CAA на неправильному імені. CAA читається сертифікаційним органом для точного сертифікованого імені, рухаючись вгору по дереву. Встановлення його у вершині вашого домену (наприклад, example.com) — правильний крок — він покриває піддомени за замовчуванням, якщо піддомен не встановлює свій власний.
• Припускаючи, що ваша платформа вже зробила це. Cloudflare, Google і Microsoft керують сертифікатами, але не додають CAA-записи за вас. Якщо ви не додавали їх, ваш домен все ще відкритий.
• Ставлення до цього як до одноразового без моніторингу. Пізніша міграція DNS, зміна реєстратора або «прибирання» записів може тихо видалити вашу CAA-захист. Варто перевіряти, що вона все ще на місці після будь-якої DNS-зміни.

Налаштуйте на своєму хості

Покроково для популярних провайдерів:

• Налаштувати CAA на GoDaddy
• Налаштувати CAA на Namecheap
• Налаштувати CAA на Cloudflare
• Налаштувати CAA на AWS Route 53

FAQ