Il record DNS di tipo CAA consente al titolare di un nome di dominio di specificare le autorità di certificazione (CA) autorizzate a rilasciare certificati per il suo dominio. La pubblicazione dei record CAA consente all’autorità di certificazione di attuare controlli aggiuntivi e ridurre così il rischio di emettere certificati illeciti. Da settembre 2017, gli emittenti di certificati SSL sono tenuti a verificare i record CAA dei domini.
Che cos’è un record CAA?
In un record CAA viene specificata l’autorità di certificazione (CA, Certification Authority) autorizzata a emettere certificati per un determinato dominio. Il record CAA (Certification Authority Authorization) garantisce quindi che solo le autorità di certificazione dichiarate nel record possono rilasciare certificati validi per quel dominio. È il proprietario di un dominio ha decidere quali CA sono autorizzati a emettere certificati per il suo dominio. In assenza di un record CAA, qualsiasi CA potrebbe potenzialmente emettere un certificato e sfruttare il traffico del dominio. I record CAA sono contributi di sicurezza che conferiscono l’autorizzazione ai proprietari di domini sulla gestione dei certificati. Nel documento RFC 6844 sono riportate le specifiche di formato ed utilizzo di questo record.
Record CAA e sicurezza del dominio
Prima che venisse introdotto il record CAA, il rilascio di certificati per un dominio era meno strutturato e relativamente libero. Prima infatti era sufficiente che il dominio indicasse un indirizzo e-mail corretto. Questa modalità di verifica presentava grosse falle di sicurezza: gli hacker potevano reindirizzare gli utenti attraverso attacchi man-in-the-middle e un certificato SSL e fare credere di essere in una connessione sicura. Con un record CAA, tali attacchi dovrebbero essere prevenuti o almeno resi molto difficili. Inoltre, così come avviene per il record TSLA, i record CAA vengono utilizzati nel meccanismo di controllo dei dati del certificato PKIX. La differenza fra i due, è che i record CAA specificano il controllo delle autorizzazioni da parte di un emittente del certificato prima dell’emissione, mentre i record TSLA specificano una verifica delle parti responsabili dopo l’emissione. I record CAA possono essere utilizzati dai valutatori dei certificati come possibile indicatore di una violazione nella politica di sicurezza. In questo caso bisogna tenere presente della possibilità che i record pubblicati possono aver subito dei cambiamenti dall’emissione alla data di verifica.
Struttura e componenti di un record CAA
I record CAA seguono una struttura specifica. Nel DNS, i record CAA sono archiviati come DNS CAA RR (DNS Certification Authority Authorization Resource Record). IANA ha assegnato ai CAA Resource Record il tipo 257.
Tag e flag del record CAA
I record CAA presentano diverse proprietà e un flag. È possibile assegnare più proprietà a un dominio pubblicando più record CAA. Il flag, un numero intero da 0 a 255, determina la modalità di interpretazione del record. Di particolare importanza è il flag issuer critical flag. Una volta impostato questo flag, le autorità di certificazione non possono emettere un certificato per il dominio se non sono in grado di valutare le voci del record CAA. Oltre al flag, vengono specificate anche le proprietà tag issue, issuewild e iodef, stringhe ASCII di lettere e numeri in minuscolo che rappresentano l’identificatore della proprietà del record.
- issue
Il tag issue consente a una CA di emettere un certificato SSL per il dominio in questione.
- issuewild
La proprietà issuewild ha uno scopo simile a issue, ma si applica solo ai certificati SSL wildcard. Se utilizza la voce “issuewild”, tutte le voci “issue” vengono automaticamente ignorate.
- iodef
Con la proprietà iodef in quanto proprietario del dominio è possibile offrire facoltativamente dati di contatto/URL alle CA per varie segnalazioni. Va notato che non tutte le autorità di certificazione supportano questa funzione.
Le autorità di certificazione sono obbligate a controllare il record CAA
In passato, l’opzione di implementare i CAA era volontaria. Gli utenti non potevano venire a conoscenza di quali autorità di certificazione aderissero al sistema e le autorità di certificazione potevano decidere se verificare o no un record. Un rischio per la sicurezza dei domini. La decisione di far diventare obbligatoria la verifica del record CAA è stata presa nel 2017 in occasione del CA/Browser Forum. Le autorità di certificazione e i fornitori si sono riuniti e hanno annunciato a marzo 2017 che le tutte le CA dovranno verificare i record a partire dal 9 settembre 2017. I membri del CA/Browser forum si sono impegnati in un documento chiamato Ballot 187 Make CAA Checking Mandatory. Il record CAA ha acquisito rilevanza dopo questa occasione e sta ricevendo supporto da un numero sempre maggiore di provider.
Leggi anche
Qual è il ruolo dell’AuthInfo nel trasferimento di un dominio?