Hva er en CAA-peker?
En CAA-peker - Certificate Authority Authorization - angir hvilke sertifikatutstedere som har lov til å utstede SSL-sertifikater for domenet ditt. Sertifikat-utstedere må sjekke CAA-posten før de signerer et sertifikat.
På vanlig norsk
CAA er en "hvitelist" for hvem som får lov til å lage SSL-sertifikater for domenet ditt. Det forhindrer at uvedkommende får utstedt sertifikat på dine vegne.
Teknisk forklaring
Format: `domene.no. CAA 0 issue "letsencrypt.org"`. Flagget 0 (issue), `issuewild` for wildcards, og `iodef` for varsling. Manglende CAA betyr alle CA-er kan utstede.
Et eksempel
domene.io. IN CAA 0 issue "letsencrypt.org"
Hvorfor er en CAA-peker viktig?
Anbefalt sikkerhetstiltak - beskytter mot uautorisert sertifikat-utstedelse og kapring.
Lær mer om beslektede ord
SSL - Secure Sockets Layer - og dens etterfølger TLS er protokoller som krypterer trafikk mellom en nettleser og en server. Det er det som gir hengelås-symbolet i nettleseren og HTTPS i adressefeltet. I dag bruker vi nesten alltid TLS, men begrepet SSL henger fortsatt igjen.
DNS - Domain Name System - er internettets adressebok. DNS oversetter domenenavn til IP-adresser, slik at nettlesere og e-postservere finner riktige tjenester. Uten DNS måtte vi husket numeriske adresser i stedet for navn.
DNSSEC - DNS Security Extensions - er en utvidelse av DNS som signerer DNS-svar kryptografisk. Det betyr at en bruker kan verifisere at svaret faktisk kommer fra den rettmessige domeneeieren, og ikke fra en angriper. DNSSEC beskytter mot DNS-spoofing og cache-forgiftning.
Spørsmål om en CAA-peker
Må alle ha CAA?
Nei, men det anbefales for bedrifter og høyverdige domener. Det er en enkel ekstra forsvarslinje.Hva skjer uten CAA-post?
Da kan teknisk sett enhver CA utstede sertifikat - men de fleste seriøse CA-er gjør domain validation før utstedelse.