Controllo dei record risorsa DNS CAA

Le autorità di certificazione controllano i record risorsa CAA prima di emettere un certificato

Prima che l’autorità di certificazione (CA) possa emettere un certificato SSL/TLS per il tuo dominio, deve controllare, elaborare e rispettare i record risorsa (RR) dell’autorizzazione dell’autorità di certificazione (CAA) DNS del dominio. (Consulta Scheda 125 – Record CAA[SUPERATO], RFC 6844, e Scheda 219: Chiarire la gestione dei set di record CAA senza tag proprietà "emissione"/"issuewild".)

Un record risorsa CAA NON è NECESSARIO per DigiCert per emettere i certificati SSL/TLS per i tuoi domini. Le informazioni fornite qui sono importanti solo se sei in una di queste situazioni:

  • Hai già dei record risorsa CAA impostati per i tuoi domini.
  • Vuoi aggiungere dei record risorsa CAA per i tuoi domini.

Per informazioni sui vantaggi della CAA, consulta Vantaggi della sicurezza della CAA.

Come funziona il processo RR CAA

Prima di emettere un certificato SSL/TLS per il tuo dominio, una CA (ad esempio DigiCert) controlla gli RR CAA per determinare se è possibile emettere un certificato per il tuo dominio. Una CA può emettere un certificato per il tuo dominio se si soddisfa una delle seguenti condizioni:

  • Non si trova un RR CAA per il tuo dominio.
  • Si trova un RR CAA per il tuo dominio che autorizza ad emettere quel tipo di certificato.
  • Si trovano solo degli RR CAA senza tag di proprietà "emissione" o "issuewild" per il tuo dominio.

Potere di un solo RR CAA

Dopo che crei un record risorsa (RR) CAA per autorizzare DigiCert ad emettere i certificati SSL/TLS per un dominio, hai escluso in modo efficace tutte le altre autorità di certificazione (CA) dall’emissione di un certificato per quel dominio. L’unico modo per autorizzare un’altra CA ad emettere i certificati per quel dominio è creare un altro RR CAA per quella CA.

Se non esiste alcun RR CAA per il dominio, significa che qualsiasi CA può emettere tutti i tipi di certificati SSL/TLS per il dominio.

Se hai un RR CAA per il dominio, significa che una CA deve trovare un RR CAA che la autorizzi ad emettere un certificato SSL/TLS per il dominio. Quando crei il primo RR CAA per un dominio, è importante comprendere che adesso devi creare abbastanza policy per quel dominio per supportare i requisiti di certificato SSL/TLS della tua organizzazione.

In questo modo, i record risorsa CAA consentono un controllo preciso sull’emissione dei certificati per il dominio. Questo controllo può essere usato per impedire alle autorità di certificazione non autorizzate di emettere i certificati per il tuo dominio.

Autorizzazione CA per i certificati di marchio DigiCert, Symantec, Thawte, GeoTrust, RapidSSL

Con l’acquisizione delle soluzioni Website Security e PKI correlate di Symantec, DigiCert ha riunito i marchi di certificazione leader del settore sotto un’unica Autorità di certificazione: DigiCert. Quando crei un RR CAA per iltuodominio.com e autorizzi DigiCert ad emettere i certificati SSL/TLS (yourdomain CAA 0 issue "digicert.com"), autorizzi DigiCert ad emettere certificati SSL/TLS di marchio DigiCert, Symantec, Thawte, GeoTrust e RapidSSL per quel dominio.

Lo stesso principio vale per quando crei un RR CAA e autorizzi Symantec ad emettere i certificati SSL/TLS per iltuodominio.com (yourdomain CAA 0 issue "symantec.com"). Questo record singolo consente DigiCert ad emettere certificati SSL/TLS di marchio DigiCert, Symantec, Thawte, GeoTrust e RapidSSL per quel dominio.

Valori validi dei record risorsa CAA

Di seguito sono riportati dei valori validi per RR CAA che puoi attualmente usare nei tuoi record CAA per autorizzare DigiCert ad emettere il tuo certificato SSL/TLS

  • digicert.com
  • www.digicert.com
  • digicert.ne.jp
  • cybertrust.ne.jp
  • symantec.com
  • thawte.com
  • geotrust.com
  • rapidssl.com

Tutti i valori elencati sono equivalenti. In altre parole, puoi usare uno qualsiasi dei valori per consentire a DigiCert di emettere i certificati SSL/TLS per tutti i marchi di certificato, portali, prodotti, ecc. DigiCert.

Verifica che i tuoi RR CAA siano configurati correttamente

Hai o hai in programma di creare RR CAA DNS per i tuoi domini? È importante verificare che i tuoi record siano aggiornati e accurati.

In DigiCert, raccomandiamo di controllare gli RR CAA DNS esistenti per i tuoi domini prima di ordinare i certificati SSL/TLS. Verifica di avere i record necessari per ciascuna CA autorizzata ad emettere i certificati SSL/TLS per i tuoi domini. Raccomandiamo inoltre che le persone che creano nuovi RR CAA DNS comprendano come funziona il processo. Non lasciare che un RR CAA configurato male impedisca ad una CA di emettere un certificato che serve al più presto.

Consulta Come modificare un RR CAA DNS del dominio per ottenere i marchi di certificato DigiCert.

Cos’è un record risorsa CAA DNS?

I record risorsa (RR) di autorizzazione dell’autorità di certificazione (CAA) consentono ai titolari di dominio di creare delle policy che autorizzano specifiche Autorità di certificazione (CA) ad emettere i certificati SSL per i loro domini associati. I titolari di dominio possono usare gli RR CAA per creare policy di sicurezza per un intero dominio (ad es. esempio.com) o per un nome host specifico (ad es., mail.esempio.com).

Quando crei un RR CAA per il dominio base, stai fondamentalmente creando una policy a ombrello per i suoi sottodomini in quella policy, a meno che non crei un RR CAA separato per un sottodominio specifico. Ha un record RR CAA per esempio.com, ma vuoi creare una policy di sicurezza diversa per mail.esempio.com? Crea un RR CAA aggiuntivo appositamente per il sottodominio mail.

Con questo record creato, quando ordini un certificato SSL/TLS per mail.esempio.com, la CA interroga il tuo DNS per gli RR CAA per quel sottodominio. Se la CA trova un record per mail.esempio.com, la ricerca si ferma e viene applicata quella policy all’ordine di certificato. Se la CA non trova un record per mail.esempio.com, continua l’interrogazione DNS per gli RR CAA nel dominio principale, esempio.com. Se la CA trova un record per esempio.com, si applica la policy del dominio principale all’ordine di certificato per mail.esempio.com.

Sintassi dei record risorsa CAA DNS

Un record risorsa (RR) dell’autorizzazione dell’autorità di certificazione (CAA) è composto da un flag a byte singolo e da una coppia di valori tag indicati come proprietà (RFC 6844 sezioni 3, 5.1). Il flag è un numero intero non assegnato, compreso tra 0 e 255. Il tag incluso nella coppia di valori tag potrebbe essere composto da lettere e numeri US-ASCII, mentre il valore è una stringa di ottetti che rappresenta il valore della proprietà di valori tag.

Tag di proprietà RR CAA

Puoi associare più proprietà allo stesso dominio pubblicando più RR CAA per quel nome dominio. Tuttavia, ciascun RR CAA può autorizzare solo una CA per emettere certificati (o in alcuni casi un tipo di certificato) per il tuo dominio.

Per consentire a più CA di emettere i certificati per il tuo dominio, devi creare almeno un RR CAA per ciascuna CA (e in alcuni casi due RR CAA). Per impostare i tuoi RR CAA, visita Supporto per record CAA.

"emissione" issuewild

Usa questo tag proprietà per autorizzare una CA (come DigiCert) ad emettere solo certificati wildcard per un dominio. Quando si elabora un ordine di certificato wildcard per *.iltuodominio, la CA interroga il DNS del dominio per gli RR CAA che contengono il tag proprietà "issuewild". Se la CA trova un tag proprietà "issuewild", tutti gli RR CAA con il tag proprietà "emissione" per quel dominio vengono ignorati. Per autorizzare altre CA ad emettere solo certificati wildcard per lo stesso dominio, dovrai creare un RR CAA univoco per ciascuna CA.

generic
yourdomain CAA 0 issuewild "digicert.com"

Come funziona"proprietà" issuewild

Il tag proprietà "issuewild" autorizza una CA ad emettere solo i certificati wildcard per un dominio (*.dominio.com, *.sotto.dominio.com, *.sotto.sotto.dominio.com, ecc.). Non consente ad una CA di emettere certificati non wildcard per un dominio (dominio.com, sotto.dominio.com, sotto.sotto.dominio.com, ecc.).

Utilizzo del"proprietà" issuewild

Se usato correttamente, la proprietà "issuewild" può essere uno strumento efficace per creare policy di emissione certificati wildcard.

Ad esempio, creai tre RR CAA "emissione" per iltuodominio. Più tardi, decidi di voler che solo una di quelle CA emetta certificati wildcard per iltuodominio. Quindi, crei un RR CAA "issuewild" che autorizza quella CA ad emettere certificati wildcard *.iltuodominio. Tutte le tre CA possono continuare ad emettere certificati non wildcard per iltuodominio, ma ora solo una CA può emettere certificati wildcard per lui.

Autorizza DigiCert ad emettere certificati wildcard per un dominio

Quando ordini un certificato wildcard per *.iltuodominio, DigiCert include iltuodominio nel certificato senza costi aggiuntivi. Ciò rappresenta un problema quando crei RR CAA "issuewild" (yourdomain CAA 0 issuewild "digicert.com") per autorizzare DigiCert ad emettere solo certificati wildcard per la tua base e i sottodomini.

Poiché includiamo iltuodominio (o mail.iltuodominio) con il tuo ordine di certificato wildcard per *.iltuodominio (o *.mail.iltuodominio), devi usare una delle opzioni sotto riportate in modo che possiamo emettere il tuo certificato wildcard.

  1. Crea un RR CAA “emissione” per DigiCert

    A meno che non hai un motivo specifico per creare un RR CAA "issuewild" per iltuodominio, non farlo. La gestione dei soli RR CAA "emissione" è molto più semplice:

generic
yourdomain CAA 0 issue "digicert.com"
  1. Crea un RR CAA “emissione” e un “issuewild” per DigiCert

    Le policy della tua organizzazione lo consentono e devi creare degli RR CAA “issuewild” per iltuodominio.com, allora crea due regole:

generic
yourdomain CAA 0 issue "digicert.com"
yourdomain CAA 0 issuewild "digicert.com"
  1. Contattaci

    Se le policy della tua organizzazione ti vietano di autorizzare DigiCert ad emettere dei certificati non wildcard per il tuo dominio, contattaci, e troveremo una soluzione al problema insieme a te in modo da poter emettere il tuo certificato wildcard.

Utilizzo improprio della"proprietà" issuewild

Quando non viene usata correttamente, la proprietà "issuewild" può impedire effettivamente alle CA di emettere i certificati necessari per un dominio. Quando si elaborano gli ordini di certificato, le CA ignorano tutti gli RR CAA con il tag proprietà "issuewild", a meno che (1) la CA non elabori un ordine per un certificato wildcard o (2) un tag "issuewild" non sia l’unico RR CAA per il dominio.

  1. La CA elabora l’ordine per il certificato wildcard

    Quando crei un solo record "issuewild" per il tuo dominio (yourdomain CAA 0 issuewild "digicert.com"), esclusi effettivamente tutte le altre CA senza un record "issuewild" per l’emissione di un certificato wildcard per quel dominio. Se non era tuo intento farlo quando hai creato il record, allora devi creare un altro record "issuewild" per ciascuna CA che vuoi autorizzare per l’emissione di certificati wildcard per iltuodominio.

  2. RR CAA "issuewild" – solo il tipo di record creato per il dominio

    Quando ordini un certificato non wildcard per iltuodominio, la CA ignorerà qualsiasi RR CAA "issuewild" per il dominio, a meno che l’RR CAA "issuewild" non sia l’unico tipo di record trovato. Quando ciò accade, una CA non può emettere un certificato non wildcard per iltuodominio.

    Il motivo principale per usare gli RR CAA è creare le policy di emissione certificati per un dominio. Quando creai un solo record "issuewild" per il tuo dominio (yourdomain CAA 0 issuewild "digicert.com"), senza alcun record "emissione" allegato, stai dicendo due cose:

    1. Autorizzi questa CA (e solo questa CA) ad emettere i certificati wildcard per iltuodominio.
    2. Non vuoi che qualsiasi CA emetta certificati non wildcard per iltuodominio.
      Ecco come funzionano gli RR CAA e quale deve essere il tuo intento quando crei solo RR CAA "issuewild" per iltuodominio.com.

    Quando crei il primo RR CAA "issuewild" per un dominio, è importante comprendere che ora devi creare una policy (RR CAA) per entrambi i tipi di autorizzazione per certificati SSL/TLS (non wildcard e wildcard).

Come funzionano insieme RR CAA e CNAME

Quando richiedi un certificato SSL/TLS per un dominio (ad es. mio.blog.esempio.com) che contiene un record CNAME che punta ad un altro dominio (ad es. mio.blog.esempio.net), l’autorità di certificazione (CA) segue un processo specifico (indicato nei Requisiti base[BR]) per individuare un RR CAA che la autorizzi ad emettere il tuo certificato.

Target CNAME

Come misura preventiva contro gli attacchi di risorsa esaurita, una CA deve solo seguire un massimo di 8 target CNAME (8 record CNAME p meno: blog.esempio.com è un CNAME per blog.esempio.net che è un CNAME per blog.esempio.org e così via per 8 livelli).

Il processo inizia nel nome dominio indicato sulla richiesta certificato e continua fino al dominio di livello massimo. Il processo si fermerà in qualsiasi punto lungo il percorso se vengono trovati degli RR CAA. Gli RR CAA determinano quindi se la CA è autorizzata ad emettere il certificato.

Esempio di flusso di lavoro di controllo RR CAA con CNAME presente

Per vedere una versione più ampia del diagramma, fai clic qui.

Fase 1: La CA controlla gli RR CAA per il nome dominio indicato sulla richiesta certificato – mio.blog.esempio.com.

Se la CA trova un record CAA per il dominio indicato sulla richiesta certificato, la ricerca si interrompe. La CA controlla per vedere se esiste un record CAA che la autorizzi ad emettere il tuo certificato. Se trova il record, la CA emette il certificato. Se non trova il record, la CA non può emettere il certificato.

Se la CA non trova un record CAA per il dominio indicato sulla richiesta certificato, la ricerca di record CAA continua.

Fase 2: CA controlla gli RR CAA per il dominio del target CNAME – mio.blog.esempio.net.

Se la CA trova un record CAA per il dominio del target CNAME, la ricerca si interrompe. La CA controlla per vedere se esiste un record CAA che la autorizzi ad emettere il tuo certificato. Se trova il record, la CA emette il certificato. Se non trova il record, la CA non può emettere il certificato.

Se la CA non trova un record CAA per il dominio del target CNAME, la ricerca di record CAA continua.

Fase 3: La CA controlla gli RR CAA per il dominio principale del dominio originale – blog.esempio.com.

Se la CA trova un record CAA per il dominio principale del dominio originale, la ricerca si interrompe. La CA controlla per vedere se esiste un record CAA che la autorizzi ad emettere il tuo certificato. Se trova il record, la CA emette il certificato. Se non trova il record, la CA non può emettere il certificato.

Se la CA non trova un record CAA per il dominio principale del dominio originale, la ricerca di record CAA continua.

Fase 4: La CA controlla gli RR CAA per il dominio base del dominio originale – esempio.com.

Se la CA trova un record CAA per il dominio base del dominio originale, la ricerca si interrompe. La CA controlla per vedere se esiste un record CAA che la autorizzi ad emettere il tuo certificato. Se trova il record, la CA emette il certificato. Se non trova il record, la CA non può emettere il certificato.

Se la CA non trova un record CAA per il dominio base del dominio originale, la ricerca di record CAA continua.

Fase 5: La CA controlla gli RR CAA per il dominio massimo del dominio originale – com.

Se la CA trova un record CAA per il dominio massimo del dominio originale, la ricerca si interrompe. La CA controlla per vedere se esiste un record CAA che la autorizzi ad emettere il tuo certificato. Se trova il record, la CA emette il certificato. Se non trova il record, la CA non può emettere il certificato.

Se la CA non trova un record CAA per il dominio massimo del dominio originale, la CAA emette il certificato.

Informazioni aggiuntive: