Начиная с сентября 2017 года удостоверяющим центрам предписано обязательно проверять CAA-записи в DNS перед генерацией сертификата. CAA (RFC-6844, Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, который имеет полномочия для генерации сертификатов для указанного домена. При наличии CAA-записи все остальные удостоверяющие центры обязаны блокировать выдачу сертификатов от своего имени для данного домена и информировать его владельца о попытках компрометации.
И так, исходя из этого я решил внести данную запись в свой DNS сервер. Оговорюсь, что сервер работает на Ubuntu Server 16.04 с пакетом bind9 и с центром сертификации Let’s Encrypt. Давайте же начнем.
Вносим CAA запись.
Откроем файл настройки прямой зоны DNS для сайта mysie.ru на редактирование.
sudo nano /etc/bind/db.mysite.ruИ вносим в него запись CAA. Вот так выглядит файл прямой зоны для mysite.ru:
$TTL 14400
@ IN SOA mysite.ru. root.mysite.ru. (
2018022105
7200
3600
1209600
180 )
@ 14400 IN NS ns1.mydns.ru.
@ 14400 IN NS ns2.mydns2.ru.
@ 14400 IN A 222.222.222.222
www 14400 IN A 222.222.222.222
@ CAA 0 issue "letsencrypt.org"
@ CAA 0 iodef "mailto:admin@mysite.ru"Допустимо указание нескольких записей issue, при использовании сертификатов от нескольких удостоверяющих центров:
mydns.ru. CAA 0 issue "symantec.com"
mydns.ru. CAA 0 issue "pki.goog"
mydns.ru. CAA 0 issue "digicert.com"сертификаты для mysite.ru генерируются только удостоверяющим центром Let’s Encrypt. В поле iodef задаётся метод оповещения о попытке генерации сертификата, уведомления отправляется на email указанный в этом поле.
Проверка CAA записи
Проверить корректность записей CAA можно командой:
dig +short +noshort mysite.ru CAAили
host -t CAA mysite.ru[endtxt]
. . . .
- Устраняем ошибку ERROR Failed to access socket path… на Ubuntu/Debian/Raspberry OS
- Тест скорости дисков в Linux
- Как запустить команду в фоне в Linux
- Ошибка несоответствие размеров GPT PMBR
- nginx: [warn] protocol options redefined