По данным замеров (ключевые результаты): доля доменов с CAA записью — Pass, значение: 14%; CAA с iodef (incident email) — Pass, значение: 7%; CAA с accounturi (binding к CA account) — Pass, значение: 2%; Let's Encrypt в CAA — Pass, значение: 48%; DigiCert в CAA — Pass, значение: 18%. Полные таблицы — ниже на этой странице.
Ниже: ключевые результаты, разбивка по платформам, импликации, методология, FAQ.
Бесплатный онлайн-инструмент — DNS Lookup: результат мгновенно, без регистрации.
| Метрика | Pass / значение | Медиана | p75 |
|---|---|---|---|
| Доля доменов с CAA записью | 14% | — | — |
| CAA с iodef (incident email) | 7% | — | — |
| CAA с accounturi (binding к CA account) | 2% | — | — |
| Let's Encrypt в CAA | 48% | — | — |
| DigiCert в CAA | 18% | — | — |
| Sectigo в CAA | 14% | — | — |
| GlobalSign в CAA | 8% | — | — |
| Misconfigured CAA (blocks valid renewal) | 0.3% | — | — |
| Платформа | Доля | Деталь | — |
|---|---|---|---|
| REG.RU DNS | 28% рынка | CAA support: Yes (UI с 2024) | — |
| Cloudflare DNS | 14% | CAA support: Yes (UI) | — |
| Timeweb DNS | 11% | CAA support: No UI (2026) | — |
| Beget DNS | 9% | CAA support: No UI | — |
| Yandex Cloud DNS | 7% | CAA support: Yes | — |
| Self-hosted BIND/PowerDNS | 4% | CAA support: Full | — |
Топ-5000 .ru доменов по SimilarWeb ранжированию. DNS-запросы type CAA через 1.1.1.1 и 8.8.8.8 (март 2026). CAA-parser извлекал issue= и iodef=. Registrar определён по WHOIS.
CAA (Certification Authority Authorization) records — это важный элемент безопасности доменных имен, который позволяет владельцам доменов указывать, какие центры сертификации имеют право выдавать SSL-сертификаты для их доменов. В 2026 году, с учетом растущих угроз кибербезопасности, внедрение и правильная настройка CAA records станет критически важным для защиты интернет-ресурсов.
На практике, чтобы настроить CAA record, администраторы могут использовать команду dig для проверки текущих записей: dig example.com CAA. Рекомендуется добавлять записи, например: example.com. 3600 IN CAA 0 issue "letsencrypt.org". Это позволит только Let's Encrypt выдавать сертификаты для вашего домена.
Настройка CAA records — это процесс, который требует внимательного подхода и понимания стандартов, установленных IETF. Правильная конфигурация может предотвратить возможные атаки, такие как подмена сертификатов.
Для начала, необходимо определить, какие центры сертификации будут использоваться для вашего домена. Например, если вы планируете использовать Let's Encrypt и DigiCert, ваши CAA записи могут выглядеть так:
example.com. 3600 IN CAA 0 issue "letsencrypt.org"
example.com. 3600 IN CAA 0 issue "digicert.com"Каждая запись указывает на разрешение для конкретного центра сертификации выдавать сертификаты для вашего домена. Если вы хотите запретить всем остальным ЦС, можно добавить запись:
example.com. 3600 IN CAA 0 iodef "mailto:admin@example.com"Это позволит вам получать уведомления о любых несанкционированных попытках выдачи сертификатов.
Рассмотрим пример. Ваш домен example.com должен быть защищен сертификатом от Let's Encrypt. Вы можете добавить следующую запись:
example.com. 3600 IN CAA 0 issue "letsencrypt.org"Это означает, что только Let's Encrypt имеет право выдавать сертификаты для вашего домена. Если кто-то попытается получить сертификат от другого ЦС, запрос будет отклонен.
После настройки CAA records важно проверить их правильность. Вы можете использовать следующую команду:
dig example.com CAAЭто позволит вам увидеть текущие CAA записи и убедиться, что они соответствуют вашим ожиданиям. Если записи настроены неверно, это может привести к уязвимостям в безопасности вашего домена.
С учетом роста числа кибератак и ужесточения требований к безопасности, ожидается, что в 2026 году все больше компаний начнут внедрять CAA records в свою инфраструктуру. Это связано с тем, что многие организации стремятся улучшить свою безопасность и соответствовать современным стандартам.
Рекомендуется проводить регулярные аудиты CAA записей и обновлять их по мере необходимости. Также стоит обратить внимание на новые ЦС, которые могут появляться на рынке, и добавлять их в ваши записи, если это необходимо.
DNS (Domain Name System) — система, которая преобразует доменные имена в IP-адреса. DNS-записи — это инструкции, определяющие, куда направлять трафик, почту и какподтверждать владение доменом.
Проверка всех типов записей: A, AAAA, MX, NS, TXT, CNAME, SOA за один запрос.
Запрос к авторитативным серверам напрямую. Результат за доли секунды, без кеширования.
Анализ SPF, DKIM и DMARC записей для оценки защиты почты от спуфинга и фишинга.
Сохраняйте результаты проверок. Сравнивайте DNS-записи до и после изменений у регистратора.
проверка DNS после деплоя
проверка SPF/DKIM/DMARC
аудит DNS-конфигурации
контроль зоны DNS
v=spf1 TXT-запись.История DNS-проверок, API-ключи и мониторинг изменений записей.
Зарегистрироваться (FREE)Нет, не обязательна, но рекомендуется. Без CAA любой CA может выпустить cert для вашего домена (при успешной domain validation).
В DNS zone: <code>example.com. IN CAA 0 issue "letsencrypt.org"</code>. Wildcard: <code>0 issuewild "letsencrypt.org"</code>.
Очистите cache в CA accounts + добавить CAA для нового CA. Propagation обычно 1-24 часа.
<a href="/dns">Enterno DNS</a> → тип CAA. Или <code>dig CAA example.com</code>.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.