Certification Authority Authorization, czyli CAA to tak zwana Autoryzacja Urzędu Certyfikacji. CAA jest niczym innym, jak mechanizmem, który ma zwiększać bezpieczeństwo w infrastrukturze Klucza Publicznego. CAA wspiera prawidłowe wydawanie certyfikatów SSL, które w przypadku każdej z witryn mogą być wydawane przez określone Urzędy Certyfikacji. Certyfikaty SSL są już dzisiaj właściwie normą dla każdej strony, ale czasem trudno jednoznacznie określić, który urząd ma wydać certyfikat dla danej strony. Liczba stron, która korzysta chętnie z CAA wciąż wzrasta, a od września 2017 roku podwoiła się, co jest zjawiskiem raczej niecodziennym. W rzeczywistości jednak jedynie kilka tysięcy stron używa CAA, ale w przyszłości może być on jednym z wiodących mechanizmów bezpieczeństwa.
Poza tym, że CAA ma na względzie przede wszystkim bezpieczeństwo jest jeszcze idealnym narzędziem, by egzekwować zasady firmy, które są związane z wydawaniem certyfikatów SSL.W praktyce cała zabawa z CAA polega na tym, że jeśli ktoś jest właścicielem konkretnej domeny, to dzięki CAA może wskazać Urząd Certyfikacji, który może wystawić certyfikat SSL dla posiadanej domeny. To duża ochrona dla domen, które są bardzo popularne i wiele osób chce z nich korzystać poprzez wystąpienie do innego urzędu o SSL. Dzięki CAA to drugie wnioskowanie o SSL zostanie zablokowane.
Wdrożenie CAA na swoich komputerach i w witrynach nie jest wcale trudne. CAA uchodzi raczej za prosty mechanizm, błędy konfiguracyjne to w jego przypadku epizody, a mechanizmy typu HSTS czy HPKP są zdecydowanie bardziej awaryjne niż CAA. Z CAA może skorzystać całkowicie dodatkowo każdy, kto wykorzystuje DNS jako zarządzany system.
Korzystanie i wdrożenie mechanizmu CAA można zawrzeć w kilku krótkich krokach:
- Krok pierwszy: określić, które urzędy Certyfikacji są wykorzystywane w danej organizacji;
- Krok drugi: użyć znalezionych wcześniej urzędów do tego, by wprowadzić CA do rekordu CAA;
- Krok trzeci: utworzenie rekordu DNS CAA.
Ważne i pomocne jest to, że zawsze można w tym przypadku aktualizować listę rekordów CAA, jeśli chcemy zmienić listę dostępnych CA.
CAA ma przede wszystkim zalety, które przekładają się na zwiększenie bezpieczeństwa w sieci i na witrynach. Przede wszystkim dzięki CAA zmniejsza się znacząco liczba błędnie wydanych certyfikatów SSL. Dalej, Urząd Certyfikacji ma prawo zablokować wszelkiego rodzaju procedury związane z wydaniem certyfikatu SSL, jeśli wynikną z tego jakiekolwiek wątpliwości. Chodzi też o zablokowanie wydania certyfikatu osobie, która nie jest do tego uprawniona.
CAA, mimo ochrony, w żaden sposób nie ogranicza decyzji o wybraniu konkretnego Urzędu Certyfikacji. Warto pamiętać też o tym, że mamy możliwość zablokowania nadawania uprawnień do wydawania certyfikatu SSL praktycznie wszystkich produktów. Jedyną wadą, jaką można naprawdę zrzucić mechanizmowi CAA to, że jest on całkowicie nieobowiązkowy. To wada, która nie zależy od samego mechanizmu i z czasem może się całkowicie zmienić na korzyść samego CAA.
