Alibaba Cloud DNS：Konfigurasikan rekaman CAA untuk menentukan otoritas sertifikasi mana yang dapat menerbitkan sertifikat HTTPS

Latar Belakang

Sekitar 100 certification authority (CA) di seluruh dunia berwenang menerbitkan sertifikat HTTPS yang memverifikasi identitas situs web Anda. Namun, beberapa CA dapat dimasukkan ke dalam blacklist browser dan dinyatakan tidak tepercaya secara publik. Saat Anda mengunjungi situs web yang menggunakan sertifikat dari CA semacam itu, browser seperti Google Chrome dan Firefox akan menampilkan peringatan: “Sertifikat HTTPS tidak tepercaya.” Garis merah muncul pada indikator HTTPS di bilah alamat, dan halaman gagal dimuat.

Certification Authority Authorization (CAA) adalah langkah keamanan yang mencegah penerbitan sertifikat HTTPS tanpa izin. Internet Engineering Task Force (IETF) menyetujui standar CAA pada Januari 2013 sebagai RFC 6844. Pada Maret 2017, CA/Browser Forum mengesahkan Ballot 187, yang mewajibkan semua CA melakukan pemeriksaan CAA secara wajib mulai 8 September 2017.

Standar CAA memungkinkan pemilik domain hanya mengizinkan CA tertentu untuk menerbitkan sertifikat bagi domain mereka. Hal ini membantu mencegah penerbitan sertifikat yang tidak sah atau salah. Alibaba Cloud DNS mendukung rekaman CAA.

Format rekaman CAA

Rekaman CAA memiliki format: [flag] [tag] [value]. Rekaman ini terdiri dari satu byte [flag] dan pasangan properti—[tag]-[value]—yang juga disebut pasangan label-nilai. Anda dapat menambahkan beberapa rekaman CAA ke konfigurasi DNS suatu domain.

Field	Description
flag	Bilangan bulat tak bertanda antara 0 dan 255. Nilai ini menunjukkan cara CA harus menangani rekaman tersebut. Dalam kebanyakan kasus, atur nilainya menjadi 0. Nilai 0 berarti CA harus mengabaikan rekaman jika tidak mengenali tag tersebut.
tag	Nilai yang didukung adalah issue, issuewild, dan iodef. issue: Mengizinkan satu CA untuk menerbitkan sertifikat nama domain jenis apa pun untuk domain tersebut. issuewild: Mengizinkan satu CA untuk menerbitkan sertifikat wildcard untuk hostname di bawah domain tersebut. iodef: Memungkinkan CA mengirim URL catatan penerbitan yang tidak sesuai ke alamat email tertentu.
value	Nama domain suatu CA atau alamat email yang digunakan untuk notifikasi pelanggaran.

Tambahkan rekaman CAA

Misalnya, Anda hanya ingin mengizinkan symantec.com menerbitkan sertifikat untuk domain midengd.xyz dan mengirim laporan pelanggaran ke admin@midengd.xyz. Konfigurasikan rekaman CAA sebagai berikut.

1. Login ke Alibaba Cloud DNS – Public authoritative DNS. Klik Settings di kolom Actions untuk domain yang dituju.

2. Tambahkan dua rekaman DNS berikut.

   Host record	Record value
   @	0 issue "symantec.example.com"
   @	0 iodef "mailto:admin@midengd.xyz"

Periksa rekaman CAA

Gunakan perintah dig domain-name record-type untuk mengkueri rekaman CAA. Contoh berikut menunjukkan perintah dan output-nya.

sh-3.2# dig midengd.xyz caa

; <<>> DiG 9.10.5rc1 <<>> midengd.xyz caa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26714
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;midengd.xyz. IN CAA

;; ANSWER SECTION:
midengd.xyz. 600 IN CAA 0 iodef "mailto:admin@midengd.xyz"
midengd.xyz. 600 IN CAA 0 issue "symantec.com"

;; Query time: 577 msec
;; SERVER: 30.26.X.X#53(30.26.X.X)
;; WHEN: Tue Dec 05 18:55:48 CST 2017
;; MSG SIZE rcvd: 114

Sejak April 2017, semua CA wajib memeriksa rekaman CAA sebelum menerbitkan sertifikat SSL. Penyedia DNS utama di luar Tiongkok—termasuk Amazon Route 53, Dyn, dan Cloudflare—telah mendukung rekaman CAA. Dukungan di Tiongkok masih terbatas.

Seiring meningkatnya kesadaran akan keamanan jaringan, rekaman CAA akan menjadi persyaratan garis dasar keamanan untuk sektor keuangan, e-government, dan layanan publik. Semakin banyak penyedia DNS akan mendukung rekaman CAA. Adopsi luas hanya tinggal menunggu waktu.