Przejdź do treści
D1
PL

Bezpieczeństwo certyfikatów

Checker rekordów CAA

Wyszukaj rekordy CAA DNS na apexie domeny, przeanalizuj issue, issuewild i iodef oraz sprawdź ostrzeżenia wydawania.

Ten formularz wywołuje względny endpoint: /site-api/tools/caa

Jak używać narzędzia

  1. CAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. Spisz obecne i przyszłe CA, opublikuj issue dla każdej autoryzacji, dodaj issuewild dla wildcard, opcjonalnie iodef, waliduj przed CSR lub zamówieniem ACME. W obszarze „tag issue i autoryzowane CA” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.
  2. CAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. Spisz obecne i przyszłe CA, opublikuj issue dla każdej autoryzacji, dodaj issuewild dla wildcard, opcjonalnie iodef, waliduj przed CSR lub zamówieniem ACME. W obszarze „issuewild i certyfikaty wildcard TLS” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.
  3. CAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. Spisz obecne i przyszłe CA, opublikuj issue dla każdej autoryzacji, dodaj issuewild dla wildcard, opcjonalnie iodef, waliduj przed CSR lub zamówieniem ACME. W obszarze „URL iodef do zgłaszania incydentów” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.
  4. CAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. Spisz obecne i przyszłe CA, opublikuj issue dla każdej autoryzacji, dodaj issuewild dla wildcard, opcjonalnie iodef, waliduj przed CSR lub zamówieniem ACME. W obszarze „brak CAA i permissive issuance” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.
  5. CAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. Spisz obecne i przyszłe CA, opublikuj issue dla każdej autoryzacji, dodaj issuewild dla wildcard, opcjonalnie iodef, waliduj przed CSR lub zamówieniem ACME. W obszarze „kontrola CAA przed odnowieniem SSL” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.
  6. CAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. Spisz obecne i przyszłe CA, opublikuj issue dla każdej autoryzacji, dodaj issuewild dla wildcard, opcjonalnie iodef, waliduj przed CSR lub zamówieniem ACME. W obszarze „semantyka flagi critical” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

Co pokazuje wynik

Wynik rozdziela sygnały ważne dla tej konkretnej kontroli.

PoleCelPrzykład
DomenaCAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. W obszarze „tag issue i autoryzowane CA” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.Wprowadź apex do certyfikacji lub odnowienia.
Nazwa zapytaniaCAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. W obszarze „issuewild i certyfikaty wildcard TLS” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.Potwierdź rekordy CAA przed zamówieniem.
FoundCAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. W obszarze „URL iodef do zgłaszania incydentów” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.Sprawdź tagi issue dla wybranej CA.
ValidCAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. W obszarze „brak CAA i permissive issuance” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.Porównaj issuewild osobno od polityki issue na apex.
RecordsCAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. W obszarze „kontrola CAA przed odnowieniem SSL” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.Dodaj iodef mailto lub HTTPS jeśli możliwe.
issueCAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. W obszarze „semantyka flagi critical” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.Powtórz po TTL przy migracji CA.
issuewildCAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. W obszarze „tag issue i autoryzowane CA” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.Wprowadź apex do certyfikacji lub odnowienia.
iodefCAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. W obszarze „issuewild i certyfikaty wildcard TLS” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.Potwierdź rekordy CAA przed zamówieniem.

Kiedy ta kontrola pomaga

Używaj przy migracji CA, planowaniu wildcard, ankietach bezpieczeństwa i audytach przed odnowieniem. CAA nie zastępuje walidacji SSL — połącz z SSL Certificate Checker po wydaniu. W obszarze „tag issue i autoryzowane CA” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

Używaj przy migracji CA, planowaniu wildcard, ankietach bezpieczeństwa i audytach przed odnowieniem. CAA nie zastępuje walidacji SSL — połącz z SSL Certificate Checker po wydaniu. W obszarze „issuewild i certyfikaty wildcard TLS” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

Używaj przy migracji CA, planowaniu wildcard, ankietach bezpieczeństwa i audytach przed odnowieniem. CAA nie zastępuje walidacji SSL — połącz z SSL Certificate Checker po wydaniu. W obszarze „URL iodef do zgłaszania incydentów” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

Używaj przy migracji CA, planowaniu wildcard, ankietach bezpieczeństwa i audytach przed odnowieniem. CAA nie zastępuje walidacji SSL — połącz z SSL Certificate Checker po wydaniu. W obszarze „brak CAA i permissive issuance” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

Używaj przy migracji CA, planowaniu wildcard, ankietach bezpieczeństwa i audytach przed odnowieniem. CAA nie zastępuje walidacji SSL — połącz z SSL Certificate Checker po wydaniu. W obszarze „kontrola CAA przed odnowieniem SSL” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

Używaj przy migracji CA, planowaniu wildcard, ankietach bezpieczeństwa i audytach przed odnowieniem. CAA nie zastępuje walidacji SSL — połącz z SSL Certificate Checker po wydaniu. W obszarze „semantyka flagi critical” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

Co sprawdzić, gdy wynik wygląda błędnie

Gdy brak rekordów, zapytaj CAA na dokładnym FQDN — zwykle apex. Pusta odpowiedź pozwala każdej publicznej CA na wydanie. Po zmianach odczekaj TTL i porównaj z dig +short CAA example.com. W obszarze „tag issue i autoryzowane CA” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

Gdy brak rekordów, zapytaj CAA na dokładnym FQDN — zwykle apex. Pusta odpowiedź pozwala każdej publicznej CA na wydanie. Po zmianach odczekaj TTL i porównaj z dig +short CAA example.com. W obszarze „issuewild i certyfikaty wildcard TLS” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

Gdy brak rekordów, zapytaj CAA na dokładnym FQDN — zwykle apex. Pusta odpowiedź pozwala każdej publicznej CA na wydanie. Po zmianach odczekaj TTL i porównaj z dig +short CAA example.com. W obszarze „URL iodef do zgłaszania incydentów” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

Gdy brak rekordów, zapytaj CAA na dokładnym FQDN — zwykle apex. Pusta odpowiedź pozwala każdej publicznej CA na wydanie. Po zmianach odczekaj TTL i porównaj z dig +short CAA example.com. W obszarze „brak CAA i permissive issuance” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

Gdy brak rekordów, zapytaj CAA na dokładnym FQDN — zwykle apex. Pusta odpowiedź pozwala każdej publicznej CA na wydanie. Po zmianach odczekaj TTL i porównaj z dig +short CAA example.com. W obszarze „kontrola CAA przed odnowieniem SSL” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

Gdy brak rekordów, zapytaj CAA na dokładnym FQDN — zwykle apex. Pusta odpowiedź pozwala każdej publicznej CA na wydanie. Po zmianach odczekaj TTL i porównaj z dig +short CAA example.com. W obszarze „semantyka flagi critical” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

Jak interpretować wynik

CAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. W obszarze „tag issue i autoryzowane CA” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

CAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. W obszarze „issuewild i certyfikaty wildcard TLS” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

CAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. W obszarze „URL iodef do zgłaszania incydentów” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

CAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. W obszarze „brak CAA i permissive issuance” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

CAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. W obszarze „kontrola CAA przed odnowieniem SSL” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

CAA publikuje się jako rekordy DNS CAA na apex domeny. Przed wydaniem certyfikatu zaufane publiczne CA muszą sprawdzić CAA i respektować tagi issue, issuewild oraz iodef. W obszarze „semantyka flagi critical” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

Zalecany przebieg

  1. Wprowadź apex do certyfikacji lub odnowienia.
  2. Potwierdź rekordy CAA przed zamówieniem.
  3. Sprawdź tagi issue dla wybranej CA.
  4. Porównaj issuewild osobno od polityki issue na apex.
  5. Dodaj iodef mailto lub HTTPS jeśli możliwe.
  6. Powtórz po TTL przy migracji CA.

Narzędzie kontra ręczna kontrola

dig CAA example.com pokazuje surowe RR bez grupowania issue/issuewild. DNS Checker listuje CAA bez ostrzeżeń issuance. DN01 używa tego samego lookup Go co API produkcyjne. W obszarze „tag issue i autoryzowane CA” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

dig CAA example.com pokazuje surowe RR bez grupowania issue/issuewild. DNS Checker listuje CAA bez ostrzeżeń issuance. DN01 używa tego samego lookup Go co API produkcyjne. W obszarze „issuewild i certyfikaty wildcard TLS” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

dig CAA example.com pokazuje surowe RR bez grupowania issue/issuewild. DNS Checker listuje CAA bez ostrzeżeń issuance. DN01 używa tego samego lookup Go co API produkcyjne. W obszarze „URL iodef do zgłaszania incydentów” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

dig CAA example.com pokazuje surowe RR bez grupowania issue/issuewild. DNS Checker listuje CAA bez ostrzeżeń issuance. DN01 używa tego samego lookup Go co API produkcyjne. W obszarze „brak CAA i permissive issuance” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

dig CAA example.com pokazuje surowe RR bez grupowania issue/issuewild. DNS Checker listuje CAA bez ostrzeżeń issuance. DN01 używa tego samego lookup Go co API produkcyjne. W obszarze „kontrola CAA przed odnowieniem SSL” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

dig CAA example.com pokazuje surowe RR bez grupowania issue/issuewild. DNS Checker listuje CAA bez ostrzeżeń issuance. DN01 używa tego samego lookup Go co API produkcyjne. W obszarze „semantyka flagi critical” traktuj opublikowany CAA jako kontrakt issuance, który CA oceniają przy zamówieniu. Udokumentuj każdy tag, osobno potwierdź politykę wildcard i iodef przed odnowieniem. Po zmianach DNS uruchom ponownie tę samą domenę.

Dlaczego DN01

  • Live lookup CAA na apex
  • Sparsowane tagi issue, issuewild i iodef
  • Ostrzeżenia przy braku CAA
  • Uwagi o nieznanych tagach i critical flag
  • Łączy się z narzędziami SSL i DNS
  • Udostępnialny URL wyniku CAA

FAQ

FAQ CAA record checker

Rekordy DNS CAA, tagi issue i issuewild, autoryzowane CA i iodef.

Czym jest rekord CAA?

CAA to typ DNS wskazujący, które CA mogą wydawać certyfikaty TLS przez issue, issuewild i iodef. przewodniku podstaw CAA

Gdzie publikować CAA?

Opublikuj CAA na apex certyfikowanej domeny (example.com).

Różnica issue vs issuewild?

issue reguluje standardowe certyfikaty; issuewild wildcard osobno (RFC 8659).

Jak DN01 sprawdza CAA?

DN01 wykonuje live lookup CAA na apex, parsuje tagi i oznacza brakującą policy.

Co gdy brak CAA?

Bez CAA każda publiczna CA może wydać certyfikat — opublikuj CAA przed odnowieniem.

Dlaczego sprawdzać CAA przed odnowieniem SSL?

Migracje CA zawodzą, gdy CAA blokuje nowego issuera — waliduj przed zamówieniem.

Przełącznik narzędzi

Wybierz kolejny krok w pracy z domeną lub bezpieczeństwem.

Pełny katalog narzędzi

Poradniki

Praktyczne poradniki do typowych zadań z Checker rekordów CAA: rekordy DNS, kroki diagnostyczne i linki do naszych bezpłatnych narzędzi.

Wróć do Checker rekordów CAA