NT NetTools.fi
DNS · CAA · Varmenteet

CAA-tarkistus

Tarkista verkkotunnuksen CAA-tietueet ja selvitä, mitkä varmentajat saavat myöntää TLS/SSL-varmenteita verkkotunnukselle.

Syötä pelkkä verkkotunnus ilman https://-alkua, esimerkiksi domain.com.

Syötä verkkotunnus ja aloita tarkistus.
Opas · CAA-tietueet

Mikä CAA-tarkistus on?

CAA-tarkistus selvittää, onko verkkotunnukselle julkaistu Certificate Authority Authorization -tietueita. CAA-tietueilla verkkotunnuksen omistaja voi kertoa, mitkä varmentajat saavat myöntää TLS/SSL-varmenteita kyseiselle verkkotunnukselle.

issue

issue-tagi määrittää, mitkä varmentajat saavat myöntää tavallisia varmenteita verkkotunnukselle.

issuewild

issuewild-tagi määrittää, mitkä varmentajat saavat myöntää wildcard-varmenteita.

iodef

iodef-tagilla voidaan ilmoittaa osoite, johon varmentaja voi raportoida CAA-käytäntöön liittyvistä ongelmista.

Periytyminen

Jos aliverkkotunnuksella ei ole omia CAA-tietueita, käytäntö voi periytyä ylemmältä verkkotunnukselta.

Miksi CAA on tärkeä?

CAA antaa verkkotunnuksen omistajalle lisäkeinon hallita, mitkä varmentajat saavat myöntää varmenteita verkkotunnukselle. Se ei korvaa DNSSECiä, TLS-asetuksia tai varmenteiden hallintaa, mutta se pienentää riskiä, että väärä varmentaja myöntää varmenteen vahingossa tai virheellisen prosessin seurauksena.

CAA on erityisen hyödyllinen, jos organisaatio käyttää vain tiettyjä varmentajia, kuten Let's Encryptiä, DigiCertiä, Google Trust Servicesiä tai muuta valittua varmennepalvelua.

Miten tulosta tulkitaan?

Jos CAA-tietueita löytyy, tuloksessa näkyy, mistä verkkotunnuksesta ne löytyivät ja mitä varmentajia ne sallivat. Jos tietueita ei löydy, se ei yleensä riko sivuston toimintaa, mutta verkkotunnus ei rajoita varmenteiden myöntämistä CAA:n avulla.

Arvo issue ";" tarkoittaa, ettei tavallisia varmenteita saa myöntää. Arvo issuewild ";" tarkoittaa, ettei wildcard-varmenteita saa myöntää. Nämä voivat olla tarkoituksellisia asetuksia, mutta ne voivat myös estää varmenteen uusimisen, jos niitä käytetään väärin.

Usein kysytyt kysymykset

Onko CAA pakollinen?

Ei. Verkkotunnus voi toimia ilman CAA-tietueita, mutta CAA antaa lisäkontrollia siihen, mitkä varmentajat saavat myöntää varmenteita.

Voiko CAA estää varmenteen uusimisen?

Kyllä. Jos CAA sallii vain tietyn varmentajan mutta käytössä oleva varmennepalvelu on eri, varmenteen myöntäminen tai uusiminen voi epäonnistua.

Tarvitseeko CAA DNSSECiä?

CAA toimii ilman DNSSECiä, mutta DNSSEC parantaa DNS-vastausten luotettavuutta ja täydentää DNS-pohjaisia suojausmekanismeja.