Стандарту CAA, описанному в RFC 6844 уже около 4х лет, и всё это время он находился в состоянии рекомендации.
Суть стандарта и механизм его использования есть в нашей статье про настройку TLS, поэтому не будем повторяться.
Так вот, в марте 2017 года CA/Browser Forum абсолютным большинством проголосовал за то, чтобы проверка CAA стала обязательной с сентября 2017 года.
Как выглядит утверждённый механизм проверки CAA?
Механизм выглядит так – если кто-то запрашивает определённый CA на выдачу сертификата для домена testdomain.local.
, то CA запрашивает через DNS разрешение CAA-записи за этот домен.
Если её нет, то он пропускает проверку и идёт дальше – т.е. отсутствие CAA-записи не мешает выдаче сертификатов. Но если она есть, а выглядеть она может в вашем DNS как-то так:
testdomain.local. CAA 128 issue "letsencrypt.org"
testdomain.local. CAA 128 issue "startssl.com"
то он проверяет – есть ли его имя среди CAA-ответов, которые относятся к issue
. По сути это “список CA, которым разрешено работать с этим доменом”. Если CA находит себя там – выдаёт, если нет – отказывает в запросе.
Это является чем-то подобным SPF-записи для электронной почты, когда вы через DNS рассказываете, какие ваши сервера и IP-адреса могут отправлять почту, а какие – нет. Добавление этой записи резко осложняет для злоумышленников возможность запросить у кого-то из CA фальшивый сертификат для вашего домена.
Поэтому добавление данной записи – нужный элемент защиты инфраструктуры, если есть возможность – добавьте.