O que é um registro CAA e como ele funciona?

Atualizado em por Dionisie Gitlan

Os sites usam certificados SSL de Autoridades de Certificação (CAs) confiáveis para proteger as informações confidenciais dos visitantes. Essas entidades terceirizadas verificam a identidade de um site ou de uma empresa antes de emitir o certificado SSL. No entanto, nem todas as CAs são criadas da mesma forma, e algumas podem não atender aos altos padrões de segurança definidos pelo proprietário do site. É aqui que o recorde da CAA entra em jogo.

Este artigo aborda o registro do CAA, desde sua definição até seu funcionamento. Ele também discute como adicionar um registro CA e por que você deseja configurar um.

Índice

  1. O que é um registro da CAA?
  2. Exemplo de registro DNS do CAA
  3. Como funciona um registro do CAA?
  4. Como adicionar um registro CAA?
  5. Por que você deve adicionar um registro CAA no DNS?

O que é um registro da CAA?

Um registro CAA (Autorização de Autoridade de Certificação) é um registro DNS que permite ao proprietário de um site especificar quais Autoridades de Certificação (CAs) estão autorizadas a emitir certificados SSL para seu domínio.

O registro CAA é um registro de texto adicionado ao arquivo de zona DNS de um site e contém uma ou mais das seguintes informações: nome de domínio do emissor, sinalizador e tag.

A adição de um registro DNS CAA é uma medida de segurança adicional que aumenta a confiabilidade dos certificados SSL, impedindo a emissão de certificados não autorizados ou fraudulentos.

Exemplo de registro DNS do CAA

Veja a seguir a aparência de um registro CAA para o SSL Dragon em um servidor DNS:

ssldragon.com . Emissão CAA 0 “digicert.com”

Neste exemplo, somente a DigiCert está autorizada a emitir certificados digitais para esse domínio. Outras autoridades de certificação devem obedecer a esse comando ou correm o risco de não serem confiáveis. Como proprietário do domínio, você pode decidir quantas CAs podem emitir certificados SSL para o seu site e até mesmo especificar o tipo de certificado.

Aqui está um exemplo de um registro da CAA para certificados curinga:

ssldragon.com. CAA 0 issuewild “sectigo.com”

Nesse caso, somente a Sectigo pode emitir certificados curinga para ssldragon.com. De acordo com a votação 187 do Fórum CA/Browser, as CAs devem verificar os registros da CAA antes de emitir um certificado SSL.

Agora que você sabe o que é um registro CA, é hora de se aprofundar em seu funcionamento.

Como funciona um registro do CAA?

Vamos analisar cada elemento de um recorde da CAA. Usaremos o mesmo exemplo hipotético para o site SSL Dragon e um registro CAA real do Google.com. Você mesmo pode procurar com a ferramenta de verificação de DNS.

ssldragon.com. Emissão CAA 0 “digicert.com”

O registro do CAA acima inclui as seguintes partes:

  • ssldragon.com – o domínio que você deseja proteger
  • CAA – o tipo de registro
  • 0 – sinalizador
  • problema – etiqueta
  • Digicert.com – a CA autorizada a emitir certificados digitais para esse domínio específico.
Site do dragão SSL CAA

O exemplo do Google também contém o atributo TTL. Vamos analisar as tags, os sinalizadores, os valores e o TTL abaixo:

Bandeiras

Um sinalizador pode estar em um dos dois estados específicos 1 (crítico) ou 0 (não crítico), sendo o último o valor padrão.

  • O sinalizador 1 informa à AC que ela não pode prosseguir com a emissão do certificado se não entender a propriedade e deve notificar o proprietário do domínio por e-mail sobre a falha na verificação do registro CAA.
  • O sinalizador 0 informa à CA que ela pode usar qualquer informação de registro CAA na zona DNS. Se ele não entender esse registro, poderá usar outro no arquivo de zona do DNS.

Etiquetas

Uma tag determina a ação que uma AC autorizada pode executar ao emitir certificados digitais. As três tags definidas no padrão proposto são issue, issuewild e iodef. No entanto, as ACs também podem criar suas próprias etiquetas personalizadas para facilitar o processo de emissão de certificados.

  • A tag de emissão autoriza uma determinada CA a emitir certificados regulares e não-wildcard para o domínio especificado e todos os seus subdomínios.
  • A tag issuewild autoriza uma determinada CA a emitir certificados curinga para o domínio em questão.
  • A tag iodef (incident object description exchange format) notifica o proprietário do domínio por e-mail quando uma solicitação de certificado não passa na verificação de CAA. Veja como deve ser a sintaxe da propriedade iodef: ssldragon.com. CAA 0 iodef “mailto:[email protected].

TTL (time to live) é o período em segundos que um servidor deve armazenar em cache o seu registro CAA.

Como adicionar um registro CAA?

Agora que você conhece os elementos de um registro da CAA, vamos criar o seu próprio. Com tantas maneiras disponíveis de criar um registro de certificado CAA para o seu domínio, vamos nos concentrar nas duas mais comuns.

Como adicionar um registro CAA no seu servidor DNS?

Se você usar seu próprio servidor DNS, poderá criar o registro CAA diretamente no arquivo DNS BIND.

  1. Use um editor de texto, como o Bloco de Notas, para abrir o arquivo DNS do seu domínio.
  2. Adicione ou atualize as informações do registro CAA do DNS nesse arquivo. Use o exemplo de registro da CAA que fornecemos anteriormente. Inclua os sinalizadores, as tags, o valor, etc.
  3. Salve o arquivo de zona com sua nova configuração.

Como adicionar um registro CAA no cPanel?

Se quiser adicionar um registro CAA por meio do painel de hospedagem, veja como fazer isso:

  1. Faça login em sua conta cPanel
  2. Na seção Domains (Domínios ), clique em Zone Editor (Editor de zona)
  3. Ao lado do domínio para o qual você deseja criar um registro CAA, clique em Manage (Gerenciar)
  4. Na página Zone Editor, localize o botão Add Record (Adicionar registro ) e expanda-o. Na lista suspensa, selecione Add “CAA” Record (Adicionar registro “CAA”)
  5. Agora você precisa preencher os campos obrigatórios:
    • O nome do domínio ou subdomínio para o qual você deseja adicionar um registro CAA
    • O tipo de registro (CAA)
    • O sinalizador (0 ou 1)
    • A tag (issue, issuewild, iodef)
    • O valor (o nome de domínio da CA autorizada)
  6. Clique em Add Record para concluir a configuração.

Por que você deve adicionar um registro CAA no DNS?

A esta altura, você já deve ser um especialista em todos os registros do CAA. Mas será que seu site precisa disso?

Abaixo, listamos alguns motivos pelos quais você pode considerar a configuração de um registro CA para o seu domínio:

  1. Segurança aprimorada do site. Ao limitar o número de CAs que podem emitir certificados para o seu domínio, você reduz o risco de um invasor mal-intencionado obter um certificado fraudulento para o seu site.
  2. Conformidade com os padrões do setor. A configuração de registros DNS do CAA faz parte das práticas recomendadas do setor. O CA/Browser Forum e o PCI Security Standards Council recomendam a adição de registros de CA do DNS e pensam em torná-los obrigatórios para reduzir as ameaças à segurança na Web.
  3. Redução de riscos operacionais. Ao especificar quais CAs estão autorizadas a emitir certificados para o seu domínio, você pode reduzir o risco de erros operacionais e configurações incorretas que podem levar a violações de segurança ou tempo de inatividade do site.
  4. Validação SSL mais rápida. Os registros CAA podem reduzir o tempo de validação do SSL. Quando uma CA recebe uma solicitação de certificado para um domínio, ela deve verificar se existe um registro de recurso de CAA e se a CA solicitada está autorizada a emitir certificados para esse domínio. Fornecer essas informações com antecedência pode acelerar o processo de validação.
  5. Proteção da marca. Os registros da CAA podem proteger a reputação da sua marca, impedindo a emissão fraudulenta de certificados e bloqueando ataques de phishing ou outras atividades mal-intencionadas que possam prejudicar a reputação da sua marca.

Considerações finais

Os certificados SSL são agora um elemento essencial de todo site. E, embora a quebra da criptografia HTTPS esteja além da capacidade humana, os atacantes cibernéticos estão sempre procurando maneiras inteligentes de comprometer seu nome.

Felizmente, os registros de CAA são outra excelente medida de segurança para proteger a identidade da sua marca. Os registros do CAA lhe dão controle total sobre o processo de emissão de certificados.

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Economize 10% agora!
Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.

Posts relacionados
O que é um pacote de CA em SSL e como criá-lo?
Certificados raiz e intermediários – qual é a diferença?
O que é uma autoridade de certificação e como as CAs funcionam?
O que é uma garantia de certificado SSL e como ela funciona?
Os certificados autoassinados são seguros? Quais são os riscos?