Skip to content
EN

CAA records 2026: бенчмарк адопции

Коротко:

По данным замеров (ключевые результаты): доля доменов с CAA записью — Pass, значение: 14%; CAA с iodef (incident email) — Pass, значение: 7%; CAA с accounturi (binding к CA account) — Pass, значение: 2%; Let's Encrypt в CAA — Pass, значение: 48%; DigiCert в CAA — Pass, значение: 18%. Полные таблицы — ниже на этой странице.

Ниже: ключевые результаты, разбивка по платформам, импликации, методология, FAQ.

Проверить DNS своего домена →

Ключевые результаты

МетрикаPass / значениеМедианаp75
Доля доменов с CAA записью14%
CAA с iodef (incident email)7%
CAA с accounturi (binding к CA account)2%
Let's Encrypt в CAA48%
DigiCert в CAA18%
Sectigo в CAA14%
GlobalSign в CAA8%
Misconfigured CAA (blocks valid renewal)0.3%

Разбивка по платформам

ПлатформаДоляДеталь
REG.RU DNS28% рынкаCAA support: Yes (UI с 2024)
Cloudflare DNS14%CAA support: Yes (UI)
Timeweb DNS11%CAA support: No UI (2026)
Beget DNS9%CAA support: No UI
Yandex Cloud DNS7%CAA support: Yes
Self-hosted BIND/PowerDNS4%CAA support: Full

Почему это важно

  • CAA защищает от mis-issuance: если attacker compromise DNS, без CAA он может получить cert от любого CA
  • Chrome/Firefox не проверяют CAA (это задача CA при issuance), поэтому CAA не ломает existing clients
  • Let's Encrypt проверяет CAA при каждом renewal — неправильная запись может сломать auto-renew
  • iodef= email позволяет CA уведомить owner о попытке mis-issuance
  • CAA не заменяет DNSSEC — они complementary (DNSSEC защищает DNS-ответ, CAA — policy для CA)

Методология

Топ-5000 .ru доменов по SimilarWeb ранжированию. DNS-запросы type CAA через 1.1.1.1 и 8.8.8.8 (март 2026). CAA-parser извлекал issue= и iodef=. Registrar определён по WHOIS.

CAA records: краткий обзор и важность для 2026 года

CAA (Certification Authority Authorization) records — это важный элемент безопасности доменных имен, который позволяет владельцам доменов указывать, какие центры сертификации имеют право выдавать SSL-сертификаты для их доменов. В 2026 году, с учетом растущих угроз кибербезопасности, внедрение и правильная настройка CAA records станет критически важным для защиты интернет-ресурсов.

На практике, чтобы настроить CAA record, администраторы могут использовать команду dig для проверки текущих записей: dig example.com CAA. Рекомендуется добавлять записи, например: example.com. 3600 IN CAA 0 issue "letsencrypt.org". Это позволит только Let's Encrypt выдавать сертификаты для вашего домена.

Технические аспекты настройки CAA records для доменов

Настройка CAA records — это процесс, который требует внимательного подхода и понимания стандартов, установленных IETF. Правильная конфигурация может предотвратить возможные атаки, такие как подмена сертификатов.

Как настроить CAA records

Для начала, необходимо определить, какие центры сертификации будут использоваться для вашего домена. Например, если вы планируете использовать Let's Encrypt и DigiCert, ваши CAA записи могут выглядеть так:

example.com. 3600 IN CAA 0 issue "letsencrypt.org"
example.com. 3600 IN CAA 0 issue "digicert.com"

Каждая запись указывает на разрешение для конкретного центра сертификации выдавать сертификаты для вашего домена. Если вы хотите запретить всем остальным ЦС, можно добавить запись:

example.com. 3600 IN CAA 0 iodef "mailto:admin@example.com"

Это позволит вам получать уведомления о любых несанкционированных попытках выдачи сертификатов.

Примеры использования CAA records

Рассмотрим пример. Ваш домен example.com должен быть защищен сертификатом от Let's Encrypt. Вы можете добавить следующую запись:

example.com. 3600 IN CAA 0 issue "letsencrypt.org"

Это означает, что только Let's Encrypt имеет право выдавать сертификаты для вашего домена. Если кто-то попытается получить сертификат от другого ЦС, запрос будет отклонен.

Проверка настроек CAA records

После настройки CAA records важно проверить их правильность. Вы можете использовать следующую команду:

dig example.com CAA

Это позволит вам увидеть текущие CAA записи и убедиться, что они соответствуют вашим ожиданиям. Если записи настроены неверно, это может привести к уязвимостям в безопасности вашего домена.

Тенденции и прогнозы на 2026 год

С учетом роста числа кибератак и ужесточения требований к безопасности, ожидается, что в 2026 году все больше компаний начнут внедрять CAA records в свою инфраструктуру. Это связано с тем, что многие организации стремятся улучшить свою безопасность и соответствовать современным стандартам.

Рекомендуется проводить регулярные аудиты CAA записей и обновлять их по мере необходимости. Также стоит обратить внимание на новые ЦС, которые могут появляться на рынке, и добавлять их в ваши записи, если это необходимо.

A / AAAAIPv4 и IPv6 адреса хоста
MX-записиПочтовые серверы домена
TXT / SPFВерификация и защита от спуфинга
NS / SOAСерверы имён и зона ответственности

Почему нам доверяют

12
типов DNS-записей
SPF+DKIM
проверка почты
<1с
ответ DNS
3
региона проверки

Как это работает

1

Введите домен

2

Выберите тип записи

3

Получите DNS-ответ

Что такое DNS-записи?

DNS (Domain Name System) — система, которая преобразует доменные имена в IP-адреса. DNS-записи — это инструкции, определяющие, куда направлять трафик, почту и какподтверждать владение доменом.

Полный анализ

Проверка всех типов записей: A, AAAA, MX, NS, TXT, CNAME, SOA за один запрос.

Мгновенный результат

Запрос к авторитативным серверам напрямую. Результат за доли секунды, без кеширования.

Проверка безопасности

Анализ SPF, DKIM и DMARC записей для оценки защиты почты от спуфинга и фишинга.

Экспорт и история

Сохраняйте результаты проверок. Сравнивайте DNS-записи до и после изменений у регистратора.

Кому это нужно

DevOps

проверка DNS после деплоя

Email-маркетологи

проверка SPF/DKIM/DMARC

SEO-специалисты

аудит DNS-конфигурации

Системные администраторы

контроль зоны DNS

Частые ошибки

Нет SPF-записиБез SPF письма могут попадать в спам. Добавьте v=spf1 TXT-запись.
Один NS-серверПри сбое единственного NS домен станет недоступен. Используйте минимум 2 NS.
Конфликт CNAME и других записейCNAME не может сосуществовать с MX или TXT на том же имени — это нарушение RFC.
Слишком высокий TTLПри TTL 86400 изменения DNS будут видны только через сутки. Перед миграцией снизьте TTL до 300.
Нет обратной записи PTRПочтовые серверы проверяют PTR. Без неё письма могут быть отклонены.

Лучшие практики

Настройте SPF + DKIM + DMARCТройка записей, защищающая вашу почту от спуфинга и повышающая доставляемость.
Используйте 2+ NS-серверовРазнесите NS по разным сетям для отказоустойчивости.
Понижайте TTL перед миграциейЗа 24-48 часов до смены IP установите TTL 300, чтобы переключение прошло быстро.
Проверяйте DNS после измененийПосле обновления записей убедитесь, что изменения применились и нет ошибок.
Добавьте CAA-записьCAA ограничивает, какие центры сертификации могут выпускать SSL для вашего домена.

Получите больше с бесплатным аккаунтом

История DNS-проверок, API-ключи и мониторинг изменений записей.

Зарегистрироваться (FREE)

Больше по теме

Часто задаваемые вопросы

CAA запись обязательна?

Нет, не обязательна, но рекомендуется. Без CAA любой CA может выпустить cert для вашего домена (при успешной domain validation).

Как добавить CAA запись?

В DNS zone: <code>example.com. IN CAA 0 issue "letsencrypt.org"</code>. Wildcard: <code>0 issuewild "letsencrypt.org"</code>.

Что делать если CAA блокирует legitimate CA?

Очистите cache в CA accounts + добавить CAA для нового CA. Propagation обычно 1-24 часа.

Как проверить свой CAA?

<a href="/dns">Enterno DNS</a> → тип CAA. Или <code>dig CAA example.com</code>.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.