bg-blog-articles

Cos’è un registro CAA e come funziona?

Cos'è un record CAA

I siti web utilizzano i certificati SSL delle Autorità di Certificazione (CA) per proteggere le informazioni sensibili dei visitatori. Queste entità di terze parti verificano l’identità di un sito o di un’azienda prima di rilasciare il certificato SSL. Tuttavia, non tutte le CA sono uguali e alcune potrebbero non soddisfare gli elevati standard di sicurezza stabiliti dal proprietario del sito. È qui che entra in gioco un record CAA.

Questo articolo tratta del record CAA, dalla sua definizione al suo funzionamento. Inoltre, illustra come aggiungere un record CA e perché è consigliabile crearne uno.


Indice dei contenuti

  1. Che cos’è un record CAA?
  2. Esempio di record DNS CAA
  3. Come funziona un registro CAA?
  4. Come aggiungere un record CAA?
  5. Perché dovresti aggiungere un record CAA nel DNS?

Ottieni i certificati SSL oggi stesso

Cos’è un record CAA?

Un record CAA (Certificate Authority Authorization) è un record DNS che consente al proprietario di un sito web di specificare quali Autorità di Certificazione (CA) sono autorizzate a rilasciare certificati SSL per il proprio dominio.

Il record CAA è un record di testo aggiunto al file di zona DNS di un sito web e contiene una o più delle seguenti informazioni: nome del dominio emittente, flag e tag.

L’aggiunta di un record DNS CAA è un’ulteriore misura di sicurezza che migliora l’affidabilità dei certificati SSL impedendo l’emissione di certificati non autorizzati o fraudolenti.


Esempio di record DNS CAA

Ecco come si presenta un record CAA per SSL Dragon in un server DNS:

ssldragon.com . CAA 0 emissione “digicert.com”

In questo esempio, solo DigiCert è autorizzata a emettere certificati digitali per questo dominio. Le altre autorità di certificazione devono rispettare questo comando o rischiano di essere diffidate. In qualità di proprietario del dominio, puoi decidere quante CA possono emettere certificati SSL per il tuo sito e persino specificare il tipo di certificato.

Ecco un esempio di record CAA per i certificati jolly:

ssldragon.com. CAA 0 issuewild “sectigo.com”

In questo caso, solo Sectigo può emettere certificati wildcard per ssldragon.com. Secondo il CA/Browser Forum Ballot 187, le CA devono controllare i record CAA prima di emettere un certificato SSL.

Ora che sai cos’è un record CA, è il momento di approfondire il suo funzionamento.


Come funziona un registro CAA?

Prendiamo tutti gli elementi di un record CAA e scomponiamoli. Utilizzeremo lo stesso esempio ipotetico per il sito web SSL Dragon e un record CAA reale di Google.com. Puoi controllare tu stesso con lo strumento di verifica DNS.

ssldragon.com. CAA 0 emissione “digicert.com”

La registrazione CAA di cui sopra comprende le seguenti parti:

  • ssldragon.com: il dominio che vuoi proteggere
  • CAA – il tipo di record
  • 0 – flag
  • problema – tag
  • Digicert.com – la CA autorizzata a emettere certificati digitali per questo particolare dominio.
Sito web SSL Dragon CAA

L’esempio di Google contiene anche l’attributo TTL. Di seguito analizzeremo i tag, i flag, i valori e il TTL:


Bandiere

Un flag può avere uno dei due stati specifici 1 (critico) o 0 (non critico); quest’ultimo è il valore predefinito.

  • Il flag 1 indica alla CA che non può procedere con l’emissione del certificato se non comprende la proprietà e deve notificare al proprietario del dominio via e-mail il fallimento della verifica del record CAA.
  • Il flag 0 informa la CA che può utilizzare qualsiasi record CAA nella zona DNS. Se non comprende questo record, può utilizzarne un altro nel file della zona DNS.

Tag

Un tag determina l’azione che una CA autorizzata può eseguire quando emette certificati digitali. I tre tag definiti nello standard proposto sono issue, issuewild e iodef. Tuttavia, le CA possono anche creare tag personalizzati per facilitare il processo di emissione dei certificati.

  • Il tag issue autorizza una determinata CA a rilasciare certificati regolari e non a caratteri speciali per il dominio specificato e tutti i suoi sottodomini.
  • Il tag issuewild autorizza una determinata CA a emettere certificati wildcard per il dominio in questione.
  • Il tag iodef (incident object description exchange format) notifica al proprietario del dominio via e-mail quando una richiesta di certificato non supera il controllo CAA. Ecco come dovrebbe essere la sintassi della proprietà iodef: ssldragon.com. CAA 0 iodef “mailto:[email protected].

Il TTL (time to live) è il periodo in secondi in cui un server deve memorizzare nella cache il tuo record CAA.

Risparmia il 10% sui certificati SSL

Come aggiungere un record CAA?

Ora che conosci gli elementi di un record CAA, crea il tuo. Ci sono molti modi per creare un record di certificato CAA per il tuo dominio, ma ci concentreremo sui due più comuni.

Come aggiungere un record CAA al tuo server DNS?

Se utilizzi un tuo server DNS, puoi creare il tuo record CAA direttamente nel file DNS BIND.

  1. Usa un editor di testo come Notepad per aprire il file DNS del tuo dominio.
  2. Aggiungi o aggiorna le informazioni del record DNS CAA in quel file. Utilizza l’esempio di record CAA che ti abbiamo fornito in precedenza. Includi i flag, i tag, il valore, ecc.
  3. Salva il file di zona con la nuova configurazione.

Come aggiungere un record CAA in cPanel?

Se vuoi aggiungere un record CAA tramite il tuo pannello di hosting, ecco come fare:

  1. Accedi al tuo account cPanel
  2. Dalla sezione Domini clicca su Zone Editor
  3. Accanto al dominio per il quale vuoi creare un record CAA clicca su Gestisci.
  4. Nella pagina dell’Editor di zona, trova il pulsante Aggiungi record ed espandilo. Dall’elenco a discesa, seleziona Aggiungi record “CAA”.
  5. Ora devi compilare i campi richiesti:
    • Il nome del dominio o del sottodominio per il quale vuoi aggiungere un record CAA
    • Il tipo di record (CAA)
    • Il flag (0 o 1)
    • Il tag (issue, issuewild, iodef)
    • Il valore (il nome del dominio della CA autorizzata)
  6. Clicca su Aggiungi record per terminare la configurazione.

Perché dovresti aggiungere un record CAA nel DNS?

Ormai dovresti essere un esperto di tutto ciò che riguarda i registri CAA. Ma il tuo sito web ne ha bisogno?

Di seguito abbiamo elencato alcuni motivi per cui potresti prendere in considerazione la creazione di un record CA per il tuo dominio:

  1. Maggiore sicurezza del sito web. Limitando il numero di CA che possono emettere certificati per il tuo dominio, riduci il rischio che un malintenzionato ottenga un certificato fraudolento per il tuo sito web.
  2. Conformità agli standard del settore. L’impostazione dei record DNS CAA fa parte delle migliori pratiche del settore. Il CA/Browser Forum e il PCI Security Standards Council raccomandano l’aggiunta di record DNS CA e pensano di renderli obbligatori per ridurre le minacce alla sicurezza del web.
  3. Riduzione dei rischi operativi. Specificando quali CA sono autorizzate a emettere certificati per il tuo dominio, puoi ridurre il rischio di errori operativi e configurazioni errate che potrebbero portare a violazioni della sicurezza o all’interruzione del sito web.
  4. Convalida SSL più veloce. I record CAA possono ridurre i tempi di convalida SSL. Quando una CA riceve una richiesta di certificato per un dominio, deve verificare se esiste un record di risorsa CAA e se la CA richiesta è autorizzata a emettere certificati per quel dominio. Fornire queste informazioni in anticipo può accelerare il processo di convalida.
  5. Protezione del marchio. I record CAA possono proteggere la reputazione del tuo marchio impedendo l’emissione di certificati fraudolenti e bloccando gli attacchi di phishing o altre attività dannose che potrebbero danneggiare la reputazione del tuo marchio.

Pensieri finali

I certificati SSL sono ormai un elemento essenziale di ogni sito web. E sebbene la violazione della crittografia HTTPS sia al di là delle capacità umane, i cyber-attaccanti sono sempre alla ricerca di modi intelligenti per compromettere il tuo nome.

Fortunatamente, i registri CAA sono un’altra eccellente misura di sicurezza per proteggere l’identità del tuo marchio. I registri CAA ti permettono di avere il pieno controllo sul processo di emissione dei certificati.

Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!

Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10

Un'immagine dettagliata di un drago in volo
Scritto da

Scrittore di contenuti con esperienza, specializzato in certificati SSL. Trasforma intricati argomenti di cybersicurezza in contenuti chiari e coinvolgenti. Contribuisci a migliorare la sicurezza digitale attraverso narrazioni d'impatto.