Skip to content
EN

CAA запись: определение и применение

Коротко:

CAA (Certificate Authority Authorization) — DNS-запись, которая указывает, какие CA имеют право выпускать SSL-сертификаты для домена. Предотвращает mis-issuance. С 2017 года CA обязаны проверять CAA перед выдачей сертификата. Синтаксис: example.com. 300 IN CAA 0 issue "letsencrypt.org".

Проверить DNS своего домена →

Что такое CAA запись

CAA (Certificate Authority Authorization) — DNS-запись, которая указывает, какие CA имеют право выпускать SSL-сертификаты для домена. Предотвращает mis-issuance. С 2017 года CA обязаны проверять CAA перед выдачей сертификата. Синтаксис: example.com. 300 IN CAA 0 issue "letsencrypt.org".

Примеры использования CAA записи

CAA запись используется для различных целей, например, для ограничения выдачи сертификатов определённым CA. Это может быть полезно в случаях, когда организация хочет гарантировать, что только проверенные центры сертификации будут выпускать SSL-сертификаты для её домена.

Пример использования CAA записи для указания конкретного CA, имеющего право выдавать сертификаты: example.com. 300 IN CAA 0 issue "letsencrypt.org".

Другой пример — ограничение выдачи сертификатов для определённых типов CA, например, для CA, не являющихся частью корневых сертификатов. Это может быть полезно для обеспечения безопасности и предотвращения выдачи сертификатов злоумышленникам.

Преимущества использования CAA записи

Использование CAA записи имеет несколько преимуществ. Во-первых, это помогает предотвратить выдачу сертификатов злоумышленникам и мошенникам. Во-вторых, это обеспечивает дополнительный уровень безопасности для пользователей, посещающих веб-сайты.

Кроме того, использование CAA записи может помочь организациям контролировать выдачу сертификатов для своих доменов и гарантировать, что только проверенные CA будут выпускать SSL-сертификаты.

Также стоит отметить, что с 2017 года CA обязаны проверять CAA запись перед выдачей сертификата. Это означает, что использование CAA записи становится всё более распространённым и важным для обеспечения безопасности в интернете.

Как настроить CAA запись

Для настройки CAA записи необходимо выполнить следующие шаги:

  • Определить, какие CA имеют право выпускать SSL-сертификаты для вашего домена.
  • Использовать команду dig или другой инструмент для проверки наличия CAA записи для вашего домена.
  • Если CAA запись отсутствует, добавить её с помощью команды nsupdate или другого инструмента.
  • Проверить правильность настройки CAA записи, используя команду dig или другой инструмент.

Пример команды для добавления CAA записи: nsupdate -v -k your_key_file example.com. 300 IN CAA 0 issue "letsencrypt.org".

Важно отметить, что настройка CAA записи может потребовать сотрудничества с вашим DNS-провайдером или администратором домена.

A / AAAAIPv4 и IPv6 адреса хоста
MX-записиПочтовые серверы домена
TXT / SPFВерификация и защита от спуфинга
NS / SOAСерверы имён и зона ответственности

Почему нам доверяют

12
типов DNS-записей
SPF+DKIM
проверка почты
<1с
ответ DNS
3
региона проверки

Как это работает

1

Введите домен

2

Выберите тип записи

3

Получите DNS-ответ

Что такое DNS-записи?

DNS (Domain Name System) — система, которая преобразует доменные имена в IP-адреса. DNS-записи — это инструкции, определяющие, куда направлять трафик, почту и какподтверждать владение доменом.

Полный анализ

Проверка всех типов записей: A, AAAA, MX, NS, TXT, CNAME, SOA за один запрос.

Мгновенный результат

Запрос к авторитативным серверам напрямую. Результат за доли секунды, без кеширования.

Проверка безопасности

Анализ SPF, DKIM и DMARC записей для оценки защиты почты от спуфинга и фишинга.

Экспорт и история

Сохраняйте результаты проверок. Сравнивайте DNS-записи до и после изменений у регистратора.

Кому это нужно

DevOps

проверка DNS после деплоя

Email-маркетологи

проверка SPF/DKIM/DMARC

SEO-специалисты

аудит DNS-конфигурации

Системные администраторы

контроль зоны DNS

Частые ошибки

Нет SPF-записиБез SPF письма могут попадать в спам. Добавьте v=spf1 TXT-запись.
Один NS-серверПри сбое единственного NS домен станет недоступен. Используйте минимум 2 NS.
Конфликт CNAME и других записейCNAME не может сосуществовать с MX или TXT на том же имени — это нарушение RFC.
Слишком высокий TTLПри TTL 86400 изменения DNS будут видны только через сутки. Перед миграцией снизьте TTL до 300.
Нет обратной записи PTRПочтовые серверы проверяют PTR. Без неё письма могут быть отклонены.

Лучшие практики

Настройте SPF + DKIM + DMARCТройка записей, защищающая вашу почту от спуфинга и повышающая доставляемость.
Используйте 2+ NS-серверовРазнесите NS по разным сетям для отказоустойчивости.
Понижайте TTL перед миграциейЗа 24-48 часов до смены IP установите TTL 300, чтобы переключение прошло быстро.
Проверяйте DNS после измененийПосле обновления записей убедитесь, что изменения применились и нет ошибок.
Добавьте CAA-записьCAA ограничивает, какие центры сертификации могут выпускать SSL для вашего домена.

Получите больше с бесплатным аккаунтом

История DNS-проверок, API-ключи и мониторинг изменений записей.

Зарегистрироваться (FREE)

Больше по теме

Часто задаваемые вопросы

Нужно ли мне CAA запись?

Если работаете с веб-инфраструктурой — да. Смотрите описание выше.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.