issue
issue-tagi määrittää, mitkä varmentajat saavat myöntää tavallisia
varmenteita verkkotunnukselle.
DNS · CAA · Varmenteet
CAA-tarkistus
Tarkista verkkotunnuksen CAA-tietueet ja selvitä, mitkä varmentajat saavat myöntää TLS/SSL-varmenteita verkkotunnukselle.
Syötä pelkkä verkkotunnus ilman https://-alkua, esimerkiksi
domain.com.
Syötä verkkotunnus ja aloita tarkistus.
Opas · CAA-tietueet
Mikä CAA-tarkistus on?
CAA-tarkistus selvittää, onko verkkotunnukselle julkaistu Certificate Authority Authorization -tietueita. CAA-tietueilla verkkotunnuksen omistaja voi kertoa, mitkä varmentajat saavat myöntää TLS/SSL-varmenteita kyseiselle verkkotunnukselle.
issuewild
issuewild-tagi määrittää, mitkä varmentajat saavat myöntää
wildcard-varmenteita.
iodef
iodef-tagilla voidaan ilmoittaa osoite, johon varmentaja voi
raportoida CAA-käytäntöön liittyvistä ongelmista.
Periytyminen
Jos aliverkkotunnuksella ei ole omia CAA-tietueita, käytäntö voi periytyä ylemmältä verkkotunnukselta.
Miksi CAA on tärkeä?
CAA antaa verkkotunnuksen omistajalle lisäkeinon hallita, mitkä varmentajat saavat myöntää varmenteita verkkotunnukselle. Se ei korvaa DNSSECiä, TLS-asetuksia tai varmenteiden hallintaa, mutta se pienentää riskiä, että väärä varmentaja myöntää varmenteen vahingossa tai virheellisen prosessin seurauksena.
CAA on erityisen hyödyllinen, jos organisaatio käyttää vain tiettyjä varmentajia, kuten Let's Encryptiä, DigiCertiä, Google Trust Servicesiä tai muuta valittua varmennepalvelua.
Miten tulosta tulkitaan?
Jos CAA-tietueita löytyy, tuloksessa näkyy, mistä verkkotunnuksesta ne löytyivät ja mitä varmentajia ne sallivat. Jos tietueita ei löydy, se ei yleensä riko sivuston toimintaa, mutta verkkotunnus ei rajoita varmenteiden myöntämistä CAA:n avulla.
Arvo issue ";" tarkoittaa, ettei tavallisia varmenteita saa myöntää.
Arvo issuewild ";" tarkoittaa, ettei wildcard-varmenteita saa myöntää.
Nämä voivat olla tarkoituksellisia asetuksia, mutta ne voivat myös estää varmenteen
uusimisen, jos niitä käytetään väärin.
Usein kysytyt kysymykset
Onko CAA pakollinen?
Ei. Verkkotunnus voi toimia ilman CAA-tietueita, mutta CAA antaa lisäkontrollia siihen, mitkä varmentajat saavat myöntää varmenteita.
Voiko CAA estää varmenteen uusimisen?
Kyllä. Jos CAA sallii vain tietyn varmentajan mutta käytössä oleva varmennepalvelu on eri, varmenteen myöntäminen tai uusiminen voi epäonnistua.
Tarvitseeko CAA DNSSECiä?
CAA toimii ilman DNSSECiä, mutta DNSSEC parantaa DNS-vastausten luotettavuutta ja täydentää DNS-pohjaisia suojausmekanismeja.