Nucleus DNS CAA record

Wanneer je je website beveiligt met SSL-certifcaten, moet je weten dat er sinds kort een nieuw DNS resource record is met de naam Certificate Authority Authorization (CAA). Certificaatautoriteiten (CA) (lees: de partijen die certificaten uitreiken) moeten vanaf september 2017 dit record verplicht controleren voor ze een certificaat uitreiken. In dat certificaat kan jij namelijk zeggen welke CA’s certicaten mogen uitreiken voor jouw domein. Dat zorgt voor een extra laag van beveiliging.

Wij laten als een van de eerste hosting providers ter wereld al onze klanten toe om deze records zelf toe te voegen en te beheren via hun control panel.

Wat is een Certificate Authority Authorization (CAA) record precies?

Een Certificate Authority Authorization (CAA) record is een nieuw resource record, naast al bekende records zoals A, CNAME, MX, TXT, … Het laat jou als domeineigenaar toe om aan te geven welk CA rootcertificaat gebruikt mag worden om certificaten mee te ondertekenen voor jouw domein. Dit zorgt ervoor dat alleen de door jou gekozen CA certificaten kan uitreiken.

Wat is het voordeel van een Certificate Authority Authorization (CAA) record?

Een CAA DNS record geeft je controle over de certificaten die worden uitgegeven voor jouw domein, zonder dat er medewerking vanuit de CA nodig is. Daarnaast kunnen CA’s je melden wanneer er foutief of fraudeleuze certificaten worden aangevraagd, zodat je eventueel kan ingrijpen. Dat zorgt voor een extra laag van beveiliging én meer inzicht in potentiële fraude.

Ben ik verplicht om CAA records toe te voegen aan mijn domein?

Nee CAA records zijn optioneel. Wij raden echter aan om ze toe te voegen, omdat ze de veiligheid verhogen. Wanneer je geen CAA record hebt zeg je eigenlijk dat iedereen certificaten mag uitreiken voor jou domein.

Hoe kan ik zo’n certificaat toevoegen aan mijn domein?

Log in op je Nucleus Control Panel en kies in het linkermenu voor DNS Management. Kies daarna het bewuste domein en je krijgt een overzicht van alle resource records, mooi in tabbladen. Klik op CAA records en je kan nieuwe CAA records toevoegen voor je domein.

Hoe zit alles technisch in elkaar?

De syntax van het CAA record ziet er zo uit:

CAA <flags> <tag> <value>

De verschillende onderdelen in detail:

  • flag: een positief geheel getal tussen 0-255.
  • tag: een ASCII string die de eigenaar identificeert van het domein dat door de record wordt weergegeven.
  • value: de waarde die gelinkt is aan de tag.

Meestal zal je dus iets als dit zien:

nucleus.be. CAA 0 issue “letsencrypt.org”

Dit betekent dat alleen Let’s encrypt certificaten mag uitreiken voor “nucleus.be“. Belangrijk: Let’s encrypt mag ook certificaten uitreiken voor subdomein van “nucleus.be“, zoals bijvoorbeeld “controlpanel.nucleus.be

Wanneer je onderstaande syntax ziet betekent het dat zowel Let’s Encrypt als GlobalSign certificaten mogen uitreiken.

nucleus.be. CAA 0 issue “letsencrypt.org”
nucleus.be. CAA 0 issue “globalsign.com”

De issuewild tag (zie hieronder) geeft aan dat er wildcard certificaten mogen afgeleverd worden voor “nucleus.be”.

nucleus.be. CAA 0 issuewild “letsencrypt.org”

Hoe kan ik meldingen van CAA overtredingen ontvangen?

Als een CA een certificaataanvraagt ontvangt die wordt geweigerd door de CAA record, kan de CA jou daarvan een melding sturen. Die meldingen kan je zelf instellen en beheren via  de iodef-tag. Dit kan via een mail of een HTTPS call.

nucleus.be.  CAA 0 iodef “mailto:support@nucleus.be”

nucleus.be.  CAA 0 iodef “https://nucleus.be/callback”

Gerelateerde berichten
WPA2 Krack

WPA2 Krack onderstreept belang van correcte HTTPS-verbinding

Deze week was iedereen in de ban van WPA2 Krack, de (Belgische) hack in het WPA2-protocol. Er was de nodige paniek en vendors maakten overuren […]

Lees meer

HTTPS

Chrome en Firefox worden strenger voor websites zonder HTTPS: zorg nu dat je website niet gestraft wordt

Vanaf deze maand tonen de webbrowsers Google Chrome en Mozilla Firefox een nog duidelijkere waarschuwing wanneer gebruikers een website bezoeken die niet via het https-protocol beveiligd is. Omdat beide partijen op termijn nog strenger zullen worden, is het nu het moment om je website beter te beveiligen met HTTPS.

Lees meer

Hosting Disaster in 2017

Hoe staat het met disaster recovery in België in 2017?

Hoe staat het met disaster recovery in België in 2017? Zijn bedrijven genoeg voorbereid? Bekijk de belangrijkste resultaten van ons onderzoek met Data News.

Lees meer