Начиная с сентября 2017 года удостоверяющим центрам предписано обязательно проверять CAA-записи в DNS перед генерацией сертификата. CAA (RFC-6844, Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, который имеет полномочия для генерации сертификатов для указанного домена. При наличии CAA-записи все остальные удостоверяющие центры обязаны блокировать выдачу сертификатов от своего имени для данного домена и информировать его владельца о попытках компрометации.

И так, исходя из этого я решил внести данную запись в свой DNS сервер. Оговорюсь, что сервер работает на Ubuntu Server 16.04 с пакетом bind9 и с центром сертификации Let’s Encrypt. Давайте же начнем.

Вносим CAA запись.

Откроем файл настройки прямой зоны DNS для сайта mysie.ru на редактирование.

sudo nano /etc/bind/db.mysite.ru

И вносим в него запись CAA. Вот так выглядит файл прямой зоны для mysite.ru:

$TTL 14400
@ IN SOA mysite.ru. root.mysite.ru. (
                    2018022105
                    7200
                    3600
                    1209600
                    180 )
@ 14400 IN NS ns1.mydns.ru.
@ 14400 IN NS ns2.mydns2.ru.
@ 14400 IN A 222.222.222.222
www 14400 IN A 222.222.222.222
@ CAA 0 issue "letsencrypt.org"
@ CAA 0 iodef "mailto:admin@mysite.ru"

Допустимо указание нескольких записей issue, при использовании сертификатов от нескольких удостоверяющих центров:

mydns.ru.       CAA 0 issue "symantec.com"
mydns.ru.       CAA 0 issue "pki.goog"
mydns.ru.       CAA 0 issue "digicert.com"

сертификаты для mysite.ru генерируются только удостоверяющим центром Let’s Encrypt. В поле iodef задаётся метод оповещения о попытке генерации сертификата,  уведомления отправляется на email указанный в этом поле.

Проверка CAA записи

Проверить корректность записей CAA можно командой:

dig +short +noshort mysite.ru CAA

или

host -t CAA mysite.ru