CAA DNS-post: Slik styrker du SSL-sikkerheten

Visste du at hvem som helst i teorien kan forsøke å få utstedt et SSL-sertifikat for domenet ditt? En CAA DNS-post lar deg bestemme nøyaktig hvilke sertifikatutstedere som har tillatelse til å utstede sertifikater for domenet ditt. Det gir deg full kontroll over SSL-sikkerheten.

Kort oppsummert: CAA (Certificate Authority Authorization) er en DNS-posttype som spesifiserer hvilke sertifikatutstedere (CA-er) som kan utstede SSL/TLS-sertifikater for et domene. Uten en CAA-post kan enhver CA i verden utstede sertifikater for ditt domene. Med en CAA-post begrenser du dette til kun de utstederne du stoler på.

Hva er en CAA DNS-post?

CAA står for Certificate Authority Authorization. Det er en type DNS-post som fungerer som en sikkerhetsinstruks til sertifikatutstedere. Når en CA mottar en forespørsel om å utstede et SSL-sertifikat for domenet ditt, er den pålagt å sjekke om det finnes en CAA-post først.

Dersom CAA-posten ikke inkluderer den aktuelle CA-en, skal forespørselen avvises. Slik fungerer posten som en hviteliste for sertifikatutstedelse.

Siden 2017 har det vært obligatorisk for alle sertifikatutstedere å respektere CAA-poster. Dette ble fastsatt av CA/Browser Forum, organisasjonen som regulerer reglene for SSL-sertifikater på nett. Det betyr at CAA-poster ikke bare er en anbefaling, men en forpliktelse alle CA-er må følge.

Slik ser en CAA-post ut

En CAA-post består av tre deler:

  1. Flagg: Vanligvis 0 (ikke-kritisk) eller 128 (kritisk). Verdien 128 betyr at CA-en må forstå taggen for å kunne fortsette.
  2. Tag: Angir typen CAA-post. De tre alternativene er issue, issuewild og iodef.
  3. Verdi: Domenenavnet til den godkjente sertifikatutstederen.

Et eksempel: 0 issue "letsencrypt.org" betyr at Let's Encrypt har tillatelse til å utstede standard SSL-sertifikater for domenet.

Hvorfor bør du bruke CAA-poster?

Uten en CAA-post er domenet ditt åpent for at enhver sertifikatutsteder kan utstede sertifikater. Det betyr at en ondsinnet aktør potensielt kan få utstedt et gyldig sertifikat gjennom en mindre streng CA.

Her er de viktigste grunnene til å bruke CAA:

  • Forhindrer uautorisert sertifikatutstedelse: Kun CA-ene du eksplisitt godkjenner kan utstede sertifikater for domenet ditt.
  • Varsling ved forsøk: Med iodef-taggen kan du motta e-postvarsler hvis noen forsøker uautorisert utstedelse.
  • Kontroll over wildcard-sertifikater: Du kan begrense hvem som kan utstede wildcard-sertifikater separat fra vanlige sertifikater.
  • Styrker den generelle sikkerheten: CAA er et ekstra lag i en forsvarsstrategi for domenet ditt.

Hvis du registrerer et .no-domene hos Feno, får du tilgang til et moderne kontrollpanel der du enkelt kan administrere alle DNS-poster, inkludert CAA.

Slik setter du opp en CAA DNS-post: Steg for steg

Å legge til en CAA DNS-post er enklere enn mange tror. Hele prosessen tar bare noen minutter.

Steg 1: Finn ut hvilken CA du bruker

Sjekk hvilket SSL-sertifikat du bruker i dag. De vanligste sertifikatutstederne for norske nettsider er:

  • Let's Encrypt (letsencrypt.org): Gratis sertifikater og svært populært blant norske nettsider.
  • Sectigo (sectigo.com): Tidligere kjent som Comodo, mye brukt av webhotell.
  • DigiCert (digicert.com): Brukes ofte av større virksomheter og banker.
  • Google Trust Services (pki.goog): Brukes av Google Cloud og mange skyplattformer.

Steg 2: Logg inn i DNS-administrasjonen

Gå til kontrollpanelet hos din domeneregistrar. Hos norsk domeneregistrar Feno finner du DNS-innstillingene under domeneadministrasjon i dashbordet. Velg domenet du ønsker å sikre, og naviger til DNS-postene.

Steg 3: Legg til CAA-poster

Opprett nye CAA-poster med følgende verdier:

For å tillate Let's Encrypt (det vanligste oppsettet):

  • Type: CAA | Navn: @ | Flagg: 0 | Tag: issue | Verdi: letsencrypt.org
  • Type: CAA | Navn: @ | Flagg: 0 | Tag: issuewild | Verdi: letsencrypt.org

For å få varsel ved uautoriserte forsøk:

  • Type: CAA | Navn: @ | Flagg: 0 | Tag: iodef | Verdi: mailto:sikkerhet@dittdomene.no

Ønsker du å tillate flere CA-er? Legg til en ny issue-post for hver CA du vil godkjenne.

Steg 4: Verifiser oppsettet

Etter at du har lagret endringene, kan du verifisere at CAA-postene er aktive. Bruk kommandoen dig i terminalen:

dig CAA dittdomene.no

Du bør se CAA-postene du nettopp opprettet i svaret. DNS-endringer kan ta opptil 24 timer å propagere, men vanligvis er de aktive innen noen minutter.

De tre CAA-taggene forklart

Det finnes tre ulike tagger du kan bruke i CAA-poster:

  1. issue: Angir hvilke CA-er som kan utstede vanlige sertifikater for domenet. Dette er den viktigste taggen.
  2. issuewild: Angir hvilke CA-er som kan utstede wildcard-sertifikater (for eksempel *.dittdomene.no). Hvis denne ikke er satt, brukes reglene fra issue-taggen.
  3. iodef: Angir en e-postadresse eller URL der CA-en skal sende varsler om avviste sertifikatforespørsler.

I praksis anbefaler vi å alltid inkludere en iodef-post. Da får du beskjed dersom noen forsøker å utstede uautoriserte sertifikater for domenet ditt.

Feilsøking av CAA-poster

SSL-sertifikatet fornyes ikke automatisk

Hvis du bruker automatisk fornyelse av SSL-sertifikater (for eksempel med Let's Encrypt og Certbot), men nylig har lagt til CAA-poster, kan fornyelsen feile. Sjekk at CA-en som fornyer sertifikatet er inkludert i dine CAA-poster. Dette er den vanligste feilen etter oppsett.

CAA-posten vises ikke etter oppdatering

DNS-endringer trenger tid til å propagere. Vent opptil 24 timer før du feilsøker videre. Sjekk også at du har lagt inn posten på riktig domenenivå (@ for hoveddomenet).

Feil format på CAA-verdien

Verdien skal kun inneholde domenenavnet til CA-en, uten https:// eller andre prefiks. Bruk for eksempel letsencrypt.org, ikke https://letsencrypt.org.

Vanlige spørsmål om CAA-poster

Hva skjer hvis jeg ikke har noen CAA DNS-post?

Dersom domenet ditt ikke har noen CAA-post, tolker sertifikatutstedere dette som at alle CA-er har tillatelse til å utstede sertifikater. Domenet ditt fungerer helt normalt, men du går glipp av et viktig sikkerhetslag. Vi anbefaler å legge til CAA-poster for alle domener der du bruker SSL.

Kan CAA-poster ødelegge nettsiden min?

CAA-poster påvirker ikke trafikk til nettsiden din. De kontrollerer kun hvem som kan utstede SSL-sertifikater. Den eneste risikoen er at sertifikatfornyelse kan feile dersom CA-en ikke er inkludert. Sørg for å legge til riktig CA før du aktiverer CAA.

Trenger jeg CAA-poster for subdomener?

CAA-poster arves nedover i DNS-hierarkiet. Hvis du setter en CAA-post på hoveddomenet (eksempel.no), gjelder den også for alle subdomener som www.eksempel.no og app.eksempel.no. Subdomener kan ha egne CAA-poster som overstyrer reglene fra hoveddomenet.

Oppsummering

En CAA DNS-post er en enkel, men effektiv sikkerhetsmekanisme som gir deg kontroll over hvem som kan utstede SSL-sertifikater for domenet ditt. Oppsettet tar bare noen minutter, og beskyttelsen varer permanent.

Med Feno sitt brukervennlige kontrollpanel kan du administrere CAA-poster og alle andre DNS-innstillinger på en oversiktlig måte. Sikre ditt domene hos Feno i dag og ta full kontroll over sikkerheten din.

Registrer ditt .no-domene i dag

Sikre deg det perfekte domenenavnet for din bedrift eller prosjekt. Enkel registrering og administrasjon.

  • Norsk domeneforhandler
  • Enkel DNS-administrasjon
  • Konkurransedyktige priser
Kom i gang

Du vil kanskje også like dette