CAA Record ja DNS Zone file: 8.9.2017 Alkaen varmentajien (CA) on tarkastettava tämä tieto voidakseen myöntää varmenteen.
31.8.2017
Mistä tässä oikein on kyse?
CAA Record, eli ”Certificate Authority Authorization” on DNS tietueelle lisättävä tieto joka sanelee minkä CA:n eli varmennevalmistajan, eli CA:n (Esim. Entrust Datacard) varmenteita kyseiselle domainille on sallittua myöntää. CAA Record mahdollistaa myös raportoinnin haluttuun sähköpostiosoitteeseen, mikäli domainille on myönnetty varmenne vastoin tätä määritystä. Tämä asetus astuu voimaan 8.9.2017 ja sen voi asettaa DNS (Domain Name Services) palveluiden ylläpitäjä. Tämä asetus pakottaa varmentajat tarkistamaan CAA Record tiedon, ennen kuin he voivat myöntää varmenteen. Tämä vähentää merkittävästi mahdollisuuksia virheellisten varmenteiden myöntämiselle.
Mitä tällä asetuksella voidaan säätää?
CAA Record parametrillä voidaan määrittää DNS zone tiedostoon, että omistamaasi domainiin voidaan myöntää varmenteita vain jonkun tietyn varmentajan kautta. Tai jos käytössä olisi alidomaineita, voitaisiin määrittää alidomain kohtaisesti kenen valmistaja varmenteita kyseiselle alidomainille on sallittu myöntää. CAA Recordeilla voidaan määrittää myös useampia varmentajia, eli tarkoitus ei ole kiinnittää domainia vain yhteen valmistajaan, ellei näin todellakin haluta.
CAA Record ei myöskään vaikuta voimassaolevaan varmenteeseen. Asetus tarkistetaan silloin kun varmentajalta haetaan uutta varmennetta ja varmentajan järjestelmän tehtävänä on varoittaa hakijaa mahdollisista ristiriidoista.
Asetuksella voidaan myös erikseen määrittää koskeeko se vain yksittäisiä varmenteita, esim. OV/EV varmenteet vaiko myös Wildcard varmenteita vai kenties jopa molempia.
Kuinka tämä sitten otetaan käyttöön?
Kysymys on ”paha”. DNS alustoja on useita ja sen mukaisesti ohjeitakin löytyy paljon. Listaamme tähän joitakin linkkejä, joiden avulla uskomme, että onnistutte:
Entrust Datacard:
Ainakin seuraavat DNS versiot tukevat CAA Record määrityksiä:
• BIND (Prior to version 9.9.6 use RFC 3597 syntax)
• NSD (Prior to version 4.0.1 use RFC 3597 syntax)
• Knot DNS =2.2.0
• Windows Server 2016 (use RFC 3597 syntax)
• tinydns (use generic record syntax)
• ldns =1.6.17
• OpenDNSSEC (with ldns =1.6.17)
Domainin omistajan näkökulma
Minulla on web-site jossa pyöritän kauppapaikkaa. Haluan, että ostajani tietävät kuka minä olen ja että tietoliikenne on salattu niillä varmenteilla, jotka ovat tunnetusti luotettavia, miten tämä vaikuttaa minuun?
Jos ET välitä siitä, että kenen valmistajan varmenteita käytät, voit jättää tämän määrittämättä. Tällöin varmenteita voit halutessasi tilata miltä tahansa varmentajalta.
Palvelumme ovat ulkoisen palveluntarjoajan hallinnassa, haluan, että varmenteemme tulevat ainoastaan tietyltä toimittajalta. Kuinka menettelen?
Ota yhteyttä palveluntarjoaasi ja tiedustele kuinka he voivat auttaa asiassa. DNS tuotteita on laaja kirjo ja on lähes mahdotonta antaa yksityiskohtaisia neuvoja palvelutarjoajakohtaisesti. Entrustin ohjeista löytyy laaja valikoima kansainvälisiä toimijoita, mutta palveluntarjoajasi osaa opastaa ja tehdä muutokset puolestasi.
Meille ei ole tähän aikaa eikä osaamista, mutta haluaisimme, että meitä autetaan löytämään hyvä varmentaja, jota voimme käyttää.
Tässä piilee sitten ketunhäntä. Ottamalla yhteyttä meihin, voimme käydä varmennetarpeenne läpi ja opastaa tämänkin asetuksen tekemisessä.
Meillä varmenneasiat on kunnossa, emmekä tarvitse tätä tietoa.
Hyvä, teidän ei tarvitse tehdä mitään ja palveluntarjoajanne voi määrittää tämän asetuksen puolestanne tai kysyä mielipidettänne halutessaan.