DNS – Záznamy typu CAA, HTTPS, SSHFP a TLSA

V tomto článku se dozvíte:

• K čemu slouží záznamy typu CAA
  • Jak záznamy typu CAA správně zadat
  • Příklady nastavení CAA záznamů
• Jak funguje záznam typu HTTPS
• Jak funguje záznam typu SSHFP
• Jak funguje záznam typu TLSA
• Často kladené dotazy

---

Záznamy typu CAA

Záznam Certification Authority Authorization (CAA) umožňuje stanovit, které certifikační autority (CA) mají povoleno doméně vystavit SSL certifikát. Varianta záznamu také umožňuje definovat pravidlo, jak a komu vystavující CA oznámí událost, kdy se někdo pokusí doméně vystavit certifikát certifikační autorita, kterou k tomu záznam neautorizuje.

Pokud doména nebo subdoména žádný CAA záznam nastavený nemá, může jí vystavit certifikát jakákoliv CA bez omezení. Certifikační autorita také nemusí CAA záznamy podporovat – v takovém případě se chová stejně, jako kdyby neexistovaly.

CAA záznamy nastavené pro hlavní doménu platí i pro všechny subdomény, které nemají nastavený vlastní CAA záznam s jinými pravidly.

Zadání záznamů typu CAA

Data CAA záznamu tvoří tyto části:

1. Flag: kladné číslo s hodnotou 0-255 ⧉ (zpravidla 0)
2. Tag: definuje vlastnost CAA záznamu
3. Value: hodnota přiřazená tagu

Podporované tagy jsou:

• issue: autorizuje definovanou CA pro vystavení jakéhokoliv typu certifikátu
• issuewild: autorizuje definovanou CA pro vystavení pouze wildcard certifikátu
• iodef: specifikuje URL, na kterou vystavující CA oznámí narušení pravidel definovaných CAA pro danou doménu

Při vyplňování záznamu typu CAA dodržujte tato pravidla:

• Každému záznamu přiřazujte právě jedno tag-value pravidlo.
• Potřebujete-li jednomu záznamu zadat více pravidel, rozdělte je mezi samostatné záznamy.
• Hodnoty tagů (value) pište do uvozovek.

Obecný záznam typu CAA tedy vypadá takto:

Název                         TTL    Typ  Data
(název domény nebo subdomény) 300    CAA  0 (flag) "(hodnota)"

---

Příklady záznamů typu CAA

Příklad: Doména umožňuje vystavení certifikátů od letsencrypt.org. Pokusí-li se certifikát vystavit jiná autorita, zašle o tom informaci e-mailem na info@wds-test.cz.

---

Záznam typu HTTPS

Záznam typu HTTPS pomáhá klientům s nalezením zabezpečeného připojení, mimo jiné poskytnutím informací o podporovaných protokolech a portech.

Formát HTTPS záznamu

DNS záznam typu HTTPS (RFC 9460 ⧉) obsahuje prioritu, cíl (pokud se liší od domény) a další parametry (například podporované verze HTTP, nápovědy IP adres).

Záznam typu SSHFP

Při navazování spojení se serverem pomocí SSH protokolu dochází k autentifikaci ověřením identity serveru pomocí klíčů. Bezpečnost spojení tak závisí na porovnání serverem poskytnutého otisku s očekávaným otiskem veřejného klíče serveru.

DNS záznam typu SSHFP (RFC 4255 ⧉) dává SSH klientům nový způsob autentifikace porovnáním otisku poskytnutého serverem oproti otisku uloženého v DNS zóně domény. Při porovnávání musí souhlasit všechny parametry SSHFP záznamu – algoritmy použité pro vygenerování klíče a jeho otisku, a dále samotný otisk klíče.

Využití DNS SSHFP má smysl pouze v případě, že je tento záznam podepsán technoligií DNSSEC a nemůže tedy být podvržen.

Formát SSHFP záznamu

SSHFP záznam sestává ze tří částí: čísla algoritmu použitého pro vygenerování klíče, čísla algoritmu pro vygenerování otisku a samotný otisk veřejného klíče serveru.

---

Záznam typu TLSA

DNS záznam typu TLSA (RFC 6698 ⧉) určuje certifikát služby pro kombinaci údajů – FQDN, protokol a port. Pomocí TLSA záznamu je tedy možné ověřit, zda nedošlo na cestě mezi příjemcem a odesílatelem k pozměnění certifikátu.

Formát TLSA záznamu

Záznam typu TLSA má specifický tvar názvu i dat. Symbolický název SRV záznamu mívá obvykle tvar _port._protokol, např. _443._tcp.

Samotná data TLSA záznamu obsahují tři paramtry a následně binární data pro asociaci certifikátu: číslo přiřazení certifikátu doménovému názvu, číslo selektoru, číslo typu porovnávání certifikátu z řetězce proti datům v TLSA záznamu a nakonec data pro porovnávání s poskytnutým certifikátem.

---

Často kladené dotazy