1. ספרייה
  2. DNS
  3. רשומות DNS

רשומות CAA: הרשאת רשות אישורים

עודכן לפני חודש

במודל המסורתי, כל אחת ממאות רשויות האישורים המהימנות יכלה להנפיק אישור לכל דומיין. הדומיין שלך. מבלי לשאול אותך.

רשומות CAA (Certificate Authority Authorization) משנות זאת. הן רשומות DNS שמצהירות אילו רשויות אישורים רשאיות להנפיק אישורים עבור הדומיין שלך. כאשר רשות אישורים מקבלת בקשה לאישור, עליה לבדוק תחילה את רשומות ה-CAA שלך. אם היא אינה ברשימה — עליה לסרב.

זו רשימת היתר שאתה שולט בה.

כיצד פועלות רשומות CAA

לרשומת CAA יש שלושה חלקים: דגלים, תג וערך.

example.com. CAA 0 issue "letsencrypt.org"

שדה הדגלים הוא בדרך כלל 0. ערך של 128 מסמן את הרשומה כקריטית — רשויות אישורים חייבות להבין את התג, אחרת עליהן לסרב להנפקה.

התג מציין מה אתה מאשר:

  • issue: מאשר לרשות אישורים להנפיק אישורים רגילים
  • issuewild: מאשר לרשות אישורים להנפיק אישורי wildcard (כגון *.example.com)
  • issuemail: מאשר לרשות אישורים להנפיק אישורי S/MIME לכתובות דוא"ל בדומיין שלך
  • iodef: מציין לאן רשויות האישורים צריכות לדווח על הפרות מדיניות

הערך מכיל את שם הדומיין של רשות האישורים או שיטת יצירת קשר.

תצורות נפוצות

הרשאה לרשות אישורים בודדת:

example.com. CAA 0 issue "letsencrypt.org"

Let's Encrypt יכולה להנפיק אישורים. כל רשות אישורים אחרת בעולם — לא.

הרשאה לרשויות אישורים מרובות:

example.com. CAA 0 issue "letsencrypt.org"
example.com. CAA 0 issue "digicert.com"

שימוש ברשויות אישורים שונות לאישורים רגילים ולאישורי wildcard:

example.com. CAA 0 issue "letsencrypt.org"
example.com. CAA 0 issuewild "digicert.com"

Let's Encrypt מטפלת באישורים רגילים. רק DigiCert יכולה להנפיק אישורי wildcard.

חסימת כל הנפקת אישורים:

example.com. CAA 0 issue ";"

נקודה-פסיק פירושה "אף אחד." שימושי לדומיינים שאינם מאחסנים שירותים ציבוריים.

קבלת התראות על הפרות:

example.com. CAA 0 iodef "mailto:security@example.com"

ירושה

רשומות CAA מתפשטות כלפי מטה בהיררכיית ה-DNS. כאשר רשות אישורים בודקת רשומות CAA, היא מתחילה בדומיין המבוקש ועולה למעלה עד שמוצאת רשומה.

אם ל-example.com יש רשומת CAA אך ל-blog.example.com אין, מדיניות ההורה חלה על תת-הדומיין. כך ניתן להגדיר מדיניות ברירת מחדל בשורש ולעקוף אותה רק היכן שנדרש:

example.com. CAA 0 issue "letsencrypt.org"
api.example.com. CAA 0 issue "digicert.com"

רוב תתי-הדומיינים משתמשים ב-Let's Encrypt. תת-הדומיין של ה-API משתמש ב-DigiCert.

היעדר רשומות CAA בכלל פירושו אין הגבלות — כל רשות אישורים יכולה להנפיק אישורים.

המנדט של 2017

רשומות CAA היו קיימות לפני 2017, אך בדיקתן הייתה אופציונלית. ב-8 בספטמבר 2017, פורום CA/Browser הפך את בדיקת CAA לחובה עבור כל רשויות האישורים המהימנות ציבורית.

מהלך זה הפך את ה-CAA מהמלצה למנגנון אכיפה. רשויות אישורים המפרות מדיניות CAA עלולות לאבד את מעמד האמינות שלהן — הסרה ממאגרי האמינות של הדפדפנים, מה שלמעשה מוציא אותן מהעסק.

בעלי הדומיינים קיבלו שליטה אמיתית. הסיכון לאישורים לא מורשים ירד באופן משמעותי.

הרחבת ההיקף

ה-CAA ממשיך להתפתח. בשנת 2024, פורום CA/Browser הרחיב את ה-CAA לאישורי S/MIME באמצעות הצבעה SMC051. תג מאפיין issuemail חדש (המוגדר ב-RFC 9495) מאפשר לך לשלוט אילו רשויות אישורים יכולות להנפיק אישורי דוא"ל לדומיין שלך. רשויות האישורים קיבלו המלצה לבדוק רשומות issuemail החל מ-15 בספטמבר 2024, והבדיקה הופכת לחובה ב-15 במרץ 2025.

במבט קדימה, הצבעה SC-085 מחייבת רשויות אישורים להשתמש באימות DNSSEC בעת ביצוע בדיקות CAA, בתוקף מ-15 במרץ 20262. כך נסגרת פרצה שבה תוקפים יכלו לתמרן תגובות DNS כדי לעקוף מגבלות CAA.

מה ה-CAA מגן ומה לא

CAA מונע מרשויות אישורים לא מורשות להנפיק אישורים לדומיין שלך. אם רשות אישורים נפגעת או הופכת להיות עוינת, רשומות ה-CAA שלך עוצרות אותה — אלא אם היא ברשימת ההיתרים שלך.

CAA לא מונע:

  • אישורים שהונפקו לפני שפרסמת רשומות CAA
  • מתקפות נגד רשויות אישורים שהרשית
  • הנדסה חברתית נגד רשויות האישורים שהרשית
  • מתקפות DNS שמשנות או מסירות את רשומות ה-CAA שלך (עד שאימות DNSSEC יהפוך לחובה ב-2026)

CAA הוא שכבת הגנה אחת. שלב אותו עם ניטור Certificate Transparency (לגילוי אישורים לא מורשים), DNSSEC (להגנה על רשומות ה-DNS שלך כעת, לפני המנדט), וביקורות סדירות של רשויות האישורים שהרשית.

שאלות נפוצות על רשומות CAA

מה קורה אם אין לי רשומות CAA?

כל רשות אישורים מהימנה יכולה להנפיק אישורים לדומיין שלך. זו הייתה התנהגות ברירת המחדל עבור כל הדומיינים לפני שה-CAA הגיע, והיא נשארת ברירת המחדל אם אינך מפרסם רשומות CAA.

איזה שם דומיין של רשות אישורים עליי להשתמש בשדה הערך?

השתמש בדומיין ההנפקה של רשות האישורים, לא באתר שלהם. עבור Let's Encrypt, השתמש ב-letsencrypt.org. עבור DigiCert, השתמש ב-digicert.com. עבור Amazon, השתמש ב-amazon.com. תיעוד רשות האישורים שלך יציין את הערך הנכון.

האם רשומות CAA משפיעות על חידוש אישורים?

כן. רשויות אישורים בודקות רשומות CAA עבור כל הנפקה, כולל חידושים. אם תשנה את רשומות ה-CAA שלך כדי להסיר רשות אישורים, אותה רשות לא תוכל לחדש אישורים קיימים.

האם רשומות CAA עלולות לשבור אישורים קיימים שלי?

לא. CAA שולט רק בהנפקה, לא בשימוש. אישורים קיימים ממשיכים לפעול ללא קשר לשינויי CAA. עם זאת, לא תוכל לחדש אותם אם רשות האישורים המנפיקה אינה מורשית עוד.

מה ההבדל בין issue ל-issuemail?

תג issue שולט באישורי TLS/SSL (לאתרים). תג issuemail שולט באישורי S/MIME (לדוא"ל). ניתן להרשות רשויות אישורים שונות לכל מטרה.

מקורות

הקודם

רשומות A: מיפוי שמות לכתובות IPv4

הבא

רשומות MX: כיצד דואר אלקטרוני מוצא את השרת שלך

האם דף זה היה מועיל?

😔
🤨
😃