Vai al contenuto
D1
IT

Sicurezza certificati

Verificatore record CAA

Consulta i record CAA DNS all'apex del dominio, analizza issue, issuewild e iodef e rivedi gli avvisi di emissione.

Questo modulo chiama l'endpoint relativo: /site-api/tools/caa

Come usare lo strumento

  1. CAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Inventaria CA attuali e future, pubblica issue per ogni autorità, aggiungi issuewild se servono wildcard, iodef opzionale, valida prima di CSR o ordine ACME. Per «tag issue e autorità autorizzate», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.
  2. CAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Inventaria CA attuali e future, pubblica issue per ogni autorità, aggiungi issuewild se servono wildcard, iodef opzionale, valida prima di CSR o ordine ACME. Per «issuewild e certificati wildcard TLS», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.
  3. CAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Inventaria CA attuali e future, pubblica issue per ogni autorità, aggiungi issuewild se servono wildcard, iodef opzionale, valida prima di CSR o ordine ACME. Per «URL iodef per segnalazione incidenti», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.
  4. CAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Inventaria CA attuali e future, pubblica issue per ogni autorità, aggiungi issuewild se servono wildcard, iodef opzionale, valida prima di CSR o ordine ACME. Per «CAA assente e emissione permissiva», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.
  5. CAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Inventaria CA attuali e future, pubblica issue per ogni autorità, aggiungi issuewild se servono wildcard, iodef opzionale, valida prima di CSR o ordine ACME. Per «controlli CAA prima del renewal SSL», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.
  6. CAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Inventaria CA attuali e future, pubblica issue per ogni autorità, aggiungi issuewild se servono wildcard, iodef opzionale, valida prima di CSR o ordine ACME. Per «semantica del flag critico», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

Cosa mostra il risultato

Il risultato separa i segnali importanti per questo controllo.

CampoScopoEsempio
DominioCAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Per «tag issue e autorità autorizzate», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.Inserisci l’apex da certificare o rinnovare.
Nome queryCAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Per «issuewild e certificati wildcard TLS», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.Conferma record CAA prima dell’ordine.
FoundCAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Per «URL iodef per segnalazione incidenti», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.Rivedi issue per l’hostname della CA.
ValidCAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Per «CAA assente e emissione permissiva», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.Confronta issuewild separatamente dalla policy issue apex.
RecordsCAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Per «controlli CAA prima del renewal SSL», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.Aggiungi iodef mailto o HTTPS se possibile.
issueCAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Per «semantica del flag critico», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.Ripeti dopo TTL in migrazione CA.
issuewildCAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Per «tag issue e autorità autorizzate», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.Inserisci l’apex da certificare o rinnovare.
iodefCAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Per «issuewild e certificati wildcard TLS», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.Conferma record CAA prima dell’ordine.

Quando questo controllo è utile

Usalo in migrazioni CA, pianificazione wildcard, questionari sicurezza e audit pre-rinnovo. CAA non sostituisce la validazione SSL — abbina a SSL Certificate Checker dopo l’emissione. Per «tag issue e autorità autorizzate», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

Usalo in migrazioni CA, pianificazione wildcard, questionari sicurezza e audit pre-rinnovo. CAA non sostituisce la validazione SSL — abbina a SSL Certificate Checker dopo l’emissione. Per «issuewild e certificati wildcard TLS», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

Usalo in migrazioni CA, pianificazione wildcard, questionari sicurezza e audit pre-rinnovo. CAA non sostituisce la validazione SSL — abbina a SSL Certificate Checker dopo l’emissione. Per «URL iodef per segnalazione incidenti», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

Usalo in migrazioni CA, pianificazione wildcard, questionari sicurezza e audit pre-rinnovo. CAA non sostituisce la validazione SSL — abbina a SSL Certificate Checker dopo l’emissione. Per «CAA assente e emissione permissiva», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

Usalo in migrazioni CA, pianificazione wildcard, questionari sicurezza e audit pre-rinnovo. CAA non sostituisce la validazione SSL — abbina a SSL Certificate Checker dopo l’emissione. Per «controlli CAA prima del renewal SSL», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

Usalo in migrazioni CA, pianificazione wildcard, questionari sicurezza e audit pre-rinnovo. CAA non sostituisce la validazione SSL — abbina a SSL Certificate Checker dopo l’emissione. Per «semantica del flag critico», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

Cosa controllare se il risultato sembra errato

Senza record, interroga CAA sul FQDN esatto — di solito apex. Risposta vuota consente emissione da qualsiasi CA pubblica. Dopo modifiche attendi TTL e confronta con dig +short CAA example.com. Per «tag issue e autorità autorizzate», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

Senza record, interroga CAA sul FQDN esatto — di solito apex. Risposta vuota consente emissione da qualsiasi CA pubblica. Dopo modifiche attendi TTL e confronta con dig +short CAA example.com. Per «issuewild e certificati wildcard TLS», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

Senza record, interroga CAA sul FQDN esatto — di solito apex. Risposta vuota consente emissione da qualsiasi CA pubblica. Dopo modifiche attendi TTL e confronta con dig +short CAA example.com. Per «URL iodef per segnalazione incidenti», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

Senza record, interroga CAA sul FQDN esatto — di solito apex. Risposta vuota consente emissione da qualsiasi CA pubblica. Dopo modifiche attendi TTL e confronta con dig +short CAA example.com. Per «CAA assente e emissione permissiva», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

Senza record, interroga CAA sul FQDN esatto — di solito apex. Risposta vuota consente emissione da qualsiasi CA pubblica. Dopo modifiche attendi TTL e confronta con dig +short CAA example.com. Per «controlli CAA prima del renewal SSL», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

Senza record, interroga CAA sul FQDN esatto — di solito apex. Risposta vuota consente emissione da qualsiasi CA pubblica. Dopo modifiche attendi TTL e confronta con dig +short CAA example.com. Per «semantica del flag critico», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

Come interpretare il risultato

CAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Per «tag issue e autorità autorizzate», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

CAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Per «issuewild e certificati wildcard TLS», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

CAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Per «URL iodef per segnalazione incidenti», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

CAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Per «CAA assente e emissione permissiva», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

CAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Per «controlli CAA prima del renewal SSL», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

CAA è pubblicato come record DNS CAA all’apex del dominio. Prima di emettere un certificato, le CA pubbliche devono controllare CAA e rispettare i tag issue, issuewild e iodef. Per «semantica del flag critico», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

Flusso consigliato

  1. Inserisci l’apex da certificare o rinnovare.
  2. Conferma record CAA prima dell’ordine.
  3. Rivedi issue per l’hostname della CA.
  4. Confronta issuewild separatamente dalla policy issue apex.
  5. Aggiungi iodef mailto o HTTPS se possibile.
  6. Ripeti dopo TTL in migrazione CA.

Strumento vs controlli manuali

dig CAA example.com mostra RR grezzi senza raggruppare issue/issuewild. DNS Checker elenca CAA senza avvisi di emissione. DN01 usa lo stesso lookup Go dell’API di produzione. Per «tag issue e autorità autorizzate», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

dig CAA example.com mostra RR grezzi senza raggruppare issue/issuewild. DNS Checker elenca CAA senza avvisi di emissione. DN01 usa lo stesso lookup Go dell’API di produzione. Per «issuewild e certificati wildcard TLS», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

dig CAA example.com mostra RR grezzi senza raggruppare issue/issuewild. DNS Checker elenca CAA senza avvisi di emissione. DN01 usa lo stesso lookup Go dell’API di produzione. Per «URL iodef per segnalazione incidenti», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

dig CAA example.com mostra RR grezzi senza raggruppare issue/issuewild. DNS Checker elenca CAA senza avvisi di emissione. DN01 usa lo stesso lookup Go dell’API di produzione. Per «CAA assente e emissione permissiva», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

dig CAA example.com mostra RR grezzi senza raggruppare issue/issuewild. DNS Checker elenca CAA senza avvisi di emissione. DN01 usa lo stesso lookup Go dell’API di produzione. Per «controlli CAA prima del renewal SSL», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

dig CAA example.com mostra RR grezzi senza raggruppare issue/issuewild. DNS Checker elenca CAA senza avvisi di emissione. DN01 usa lo stesso lookup Go dell’API di produzione. Per «semantica del flag critico», considera il CAA pubblicato come contratto di emissione valutato dalle CA all’ordine. Documenta ogni tag, conferma la policy wildcard separatamente e verifica iodef prima del rinnovo. Dopo modifiche DNS, ripeti lo stesso dominio.

Perché usare DN01

  • Lookup CAA live all’apex
  • Tag issue, issuewild e iodef parsati
  • Avvisi CAA mancante
  • Note su tag sconosciuti e flag critico
  • Si abbina a strumenti SSL e DNS
  • URL risultato CAA condivisibile

FAQ

FAQ checker CAA

Record DNS CAA, tag issue e issuewild, CA autorizzate e iodef.

Cos’è un record CAA?

CAA è un tipo DNS che elenca le CA autorizzate a emettere certificati TLS via issue, issuewild e iodef. guida basi CAA

Dove pubblicare CAA?

Pubblica CAA all’apex del dominio certificato (example.com).

Differenza issue vs issuewild?

issue regola certificati standard; issuewild i wildcard separatamente (RFC 8659).

Come controlla CAA DN01?

DN01 interroga CAA live all’apex, analizza i tag e segnala policy mancante o sconosciuta.

Cosa succede senza CAA?

Senza CAA, qualsiasi CA pubblica può emettere — pubblica CAA prima del rinnovo.

Perché controllare CAA prima del renewal SSL?

Le migrazioni CA falliscono se CAA blocca il nuovo emittente — valida prima dell’ordine.

Cambio strumento

Scegli il passo successivo nel tuo flusso di lavoro su dominio o sicurezza.

Catalogo completo strumenti

Guide

Guide pratiche per le attività più comuni con Verificatore record CAA: record DNS, passaggi di risoluzione problemi e link ai nostri strumenti gratuiti.

Torna a Verificatore record CAA