CAA records 2026: бенчмарк адопции
CAA (Certificate Authority Authorization, RFC 6844) — DNS-запись, указывающая какие CA могут выпускать cert для вашего домена. Enterno.io проверил топ-5k .ru доменов (март 2026): только **14%** используют CAA (vs 32% в топ-1M глобально). Причина: большинство РФ-регистраторов не имеют UI для CAA editing. Лидеры CA в CAA records: Let's Encrypt 48%, DigiCert 18%, Sectigo 14%.
Ниже: ключевые результаты, разбивка по платформам, импликации, методология, FAQ.
Ключевые результаты
| Метрика | Pass / значение | Медиана | p75 |
|---|---|---|---|
| Доля доменов с CAA записью | 14% | — | — |
| CAA с iodef (incident email) | 7% | — | — |
| CAA с accounturi (binding к CA account) | 2% | — | — |
| Let's Encrypt в CAA | 48% | — | — |
| DigiCert в CAA | 18% | — | — |
| Sectigo в CAA | 14% | — | — |
| GlobalSign в CAA | 8% | — | — |
| Misconfigured CAA (blocks valid renewal) | 0.3% | — | — |
Разбивка по платформам
| Платформа | Доля | Деталь | — |
|---|---|---|---|
| REG.RU DNS | 28% рынка | CAA support: Yes (UI с 2024) | — |
| Cloudflare DNS | 14% | CAA support: Yes (UI) | — |
| Timeweb DNS | 11% | CAA support: No UI (2026) | — |
| Beget DNS | 9% | CAA support: No UI | — |
| Yandex Cloud DNS | 7% | CAA support: Yes | — |
| Self-hosted BIND/PowerDNS | 4% | CAA support: Full | — |
Почему это важно
- CAA защищает от mis-issuance: если attacker compromise DNS, без CAA он может получить cert от любого CA
- Chrome/Firefox не проверяют CAA (это задача CA при issuance), поэтому CAA не ломает existing clients
- Let's Encrypt проверяет CAA при каждом renewal — неправильная запись может сломать auto-renew
- iodef= email позволяет CA уведомить owner о попытке mis-issuance
- CAA не заменяет DNSSEC — они complementary (DNSSEC защищает DNS-ответ, CAA — policy для CA)
Методология
Топ-5000 .ru доменов по SimilarWeb ранжированию. DNS-запросы type CAA через 1.1.1.1 и 8.8.8.8 (март 2026). CAA-parser извлекал issue= и iodef=. Registrar определён по WHOIS.
Почему нам доверяют
Как это работает
Введите домен
Выберите тип записи
Получите DNS-ответ
Что такое DNS-записи?
DNS (Domain Name System) — система, которая преобразует доменные имена в IP-адреса. DNS-записи — это инструкции, определяющие, куда направлять трафик, почту и какподтверждать владение доменом.
Полный анализ
Проверка всех типов записей: A, AAAA, MX, NS, TXT, CNAME, SOA за один запрос.
Мгновенный результат
Запрос к авторитативным серверам напрямую. Результат за доли секунды, без кеширования.
Проверка безопасности
Анализ SPF, DKIM и DMARC записей для оценки защиты почты от спуфинга и фишинга.
Экспорт и история
Сохраняйте результаты проверок. Сравнивайте DNS-записи до и после изменений у регистратора.
Кому это нужно
DevOps
проверка DNS после деплоя
Email-маркетологи
проверка SPF/DKIM/DMARC
SEO-специалисты
аудит DNS-конфигурации
Системные администраторы
контроль зоны DNS
Частые ошибки
v=spf1 TXT-запись.Лучшие практики
Получите больше с бесплатным аккаунтом
История DNS-проверок, API-ключи и мониторинг изменений записей.
Зарегистрироваться (FREE)Больше по теме
Часто задаваемые вопросы
CAA запись обязательна?
Нет, не обязательна, но рекомендуется. Без CAA любой CA может выпустить cert для вашего домена (при успешной domain validation).
Как добавить CAA запись?
В DNS zone: <code>example.com. IN CAA 0 issue "letsencrypt.org"</code>. Wildcard: <code>0 issuewild "letsencrypt.org"</code>.
Что делать если CAA блокирует legitimate CA?
Очистите cache в CA accounts + добавить CAA для нового CA. Propagation обычно 1-24 часа.
Как проверить свой CAA?
<a href="/dns">Enterno DNS</a> → тип CAA. Или <code>dig CAA example.com</code>.