Che cos'è un record CAA?

Un record DNS di tipo CAA ( Certification Authority Authorization ) serve a specificare le Certification Authority (CA) autorizzate a emettere certificati per un determinato dominio.

Lo scopo del record CAA è consentire ai titolari di un dominio di dichiarare quali Certification Authority sono autorizzate a rilasciare un certificato per il proprio dominio.
Se non è presente alcun record CAA, qualsiasi CA è autorizzata a emettere un certificato per il dominio.
Se è presente un record CAA, solo le CA elencate nei record possono rilasciare certificati per tale dominio.

I record CAA possono impostare i criteri per l'intero dominio o per sottodomini specifici.
Anche i record CAA vengono ereditati dai sottodomini, pertanto un record CAA impostato su miodominio.com verrà applicato anche a qualsiasi sottodominio, ad esempio sottodominio.miodominio.com.
I record CAA possono controllare i certificati SSL singoli, i certificati SSL wildcard oppure entrambi.

Le specifiche di formato ed utilizzo del record CAA sono riportate in RFC 6844


Formato record CAA


Il record CAA è rappresentato dai seguenti elementi:

  • flag - Un numero positivo intero compreso tra 0 e 255.

  • tag - Una stringa ASCII che rappresenta l'identificatore della proprietà rappresentata dal record.

  • value - Il valore associato al tag.

È possibile associare più proprietà allo stesso nome di dominio pubblicando più record CAA per quel determinato nome di dominio.

La rappresentazione canonica è:

CAA <flags> <tag> <value>

Attualmente la RFC definisce 3 possibili tag:

  • issue - autorizza un'unica C.A. ad emettere un certificato SSL (di qualsiasi tipo) per il dominio o sottodominio specificati.

  • issuewild - autorizza un'unica C.A. ad emettere un certificato SSL wildcard (ed esclusivamente wildcard) per il dominio o sottodominio specificati.

  • iodef - specifica un URL a cui una C.A. può segnalare eventuali abusi.

Per i tag issue e issuewild, value deve indicare la C.A. autorizzata all'emissione di certificati.
I valori più comuni in questo caso sono:
comodoca.com
digicert.com
letsencrypt.org

Found this article interesting?
Subscribe to DomainRegister´s newsletter!

You can unsubscribe at any time by simply clicking the link in the footer of our emails. For information about our privacy practices, please visit our website.

We use Mailchimp as our marketing platform. By clicking below to subscribe, you acknowledge that your information will be transferred to Mailchimp for processing. Learn more about Mailchimp s privacy practices here.

  • DNS, SSL
  • 0 Utenti hanno trovato utile questa risposta
Hai trovato utile questa risposta?

Articoli Correlati

 What is DNS propagation?

Every time you make a change to the DNS servers of your domain, or you modify any DNS record, you...

 Quali record DNS è possibile gestire?

Sui nostri server DNS shared (ns1.drnameservice.com, ns2.drnameservice.com,...

 Recommended SOA values

STRUCTURE OF A SOA RECORDdomain-name TTL SOA MNAME RNAME (SERIAL-NUMBER REFRESH RETRY EXPIRE...

 Visualizzare un sito prima che sia completato il trasferimento del dominio

Il trasferimento di un dominio può richiedere diversi giorni; in questo caso può esser utile...

 DNS Check Tools

These check tools are: online (so are always ready to run in seconds, and you don't need to...