Utilize Registros DNS CAA para Autorizar a Emissão de Certificados TLS
O registro DNS CAA permite que você especifique quais Autoridades Certificadoras (CAs) estão autorizadas a emitir certificados para o seu domínio. É uma ferramenta vital para a segurança online, que auxilia a prevenir emissões não autorizadas de certificados.
Entendendo o DNS CAA
CAA, ou Autorização de Autoridade de Certificação, é um tipo de registro DNS que instrui as CAs sobre a permissão para emitir ou não certificados para um domínio. Em essência, você define quais entidades estão habilitadas a emitir seu Certificado SSL/TLS. A obrigatoriedade de implementação do CAA, introduzida no final de 2017, ainda é pouco adotada, com menos de 5% dos sites populares utilizando-o.
Vamos analisar um exemplo. O domínio “gf.dev”, associado a etechpt.com, apresenta os seguintes registros CAA:
gf.dev. 3586 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "comodoca.com" gf.dev. 3586 IN CAA 0 issue "comodoca.com" gf.dev. 3586 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "letsencrypt.org" gf.dev. 3586 IN CAA 0 issue "letsencrypt.org"
Este cenário demonstra que apenas a DigiCert, Comodo e Let’s Encrypt estão autorizadas a emitir certificados para “gf.dev”. Solicitações de outras CAs, como a Thawte, seriam rejeitadas. Note também a diferença entre os atributos “issue” e “issuewild”.
- issue: Permite à CA emitir certificados apenas para o domínio especificado.
- issuewild: Permite à CA emitir certificados curinga, aplicáveis a um domínio e seus subdomínios.
Adicionalmente, o registro CAA suporta o formato iodef (formato de troca de descrição de objeto de incidente), que possibilita às CAs enviar notificações de violações para e-mails ou contatos especificados.
Riscos da Ausência de Registros CAA
A ausência de um registro CAA significa que qualquer pessoa pode gerar uma solicitação de assinatura de certificado (CSR) para o seu domínio e obter um certificado assinado por qualquer CA. Isso representa um risco considerável à segurança do seu site.
Para clarear, aqui está uma lista das abreviações utilizadas:
- DNS – Sistema de Nomes de Domínio
- CA – Autoridade Certificadora
- CAA – Autorização da Autoridade de Certificação
- TLS – Segurança da Camada de Transporte
- SSL – Camada de Soquete Seguro
Como Verificar Registros DNS CAA
Existem diversos métodos para validar um registro CAA. Pelo terminal, você pode usar o comando dig:
dig caa $SEUDOMINIO.COM
Exemplo para o domínio etechpt.com.com:
[email protected]:~# dig caa etechpt.com.com ; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> caa etechpt.com.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54430 ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 65494 ;; QUESTION SECTION: ;etechpt.com.com. IN CAA ;; ANSWER SECTION: etechpt.com.com. 3600 IN CAA 0 issuewild "comodoca.com" etechpt.com.com. 3600 IN CAA 0 issuewild "letsencrypt.org" etechpt.com.com. 3600 IN CAA 0 issue "comodoca.com" etechpt.com.com. 3600 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" etechpt.com.com. 3600 IN CAA 0 issue "letsencrypt.org" etechpt.com.com. 3600 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" ;; Query time: 7 msec ;; SERVER: 127.0.0.53#53(127.0.0.53) ;; WHEN: Tue Oct 08 07:12:21 UTC 2019 ;; MSG SIZE rcvd: 298 [email protected]:~#
Se preferir, utilize a ferramenta online de teste DNS CAA para verificações remotas.
Como Adicionar um Registro CAA
A adição de um registro CAA é similar à inclusão de outros registros DNS, como A, NS, e CNAME.
Se você usa o Cloudflare, navegue até a aba DNS >> adicionar registro e selecione CAA como o tipo.
No GoDaddy, acesse o Gerenciamento de DNS e adicione um novo registro.
Se tiver dúvidas sobre o processo, contate seu provedor de DNS ou hospedagem.
Conclusão
A utilização de registros CAA é essencial para elevar a segurança do seu domínio. Implementar um registro CAA não tem custo e protege seu domínio contra emissões de certificados não autorizadas.
Achou o artigo útil? Compartilhe com seus contatos!