К содержанию
D1
RU

Certificate security

CAA Record Checker

Live lookup CAA на apex домена: issue, issuewild, iodef и warnings по issuance.

Форма вызывает относительный endpoint: /site-api/tools/caa

Как пользоваться инструментом

  1. CAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Перечислите текущие и будущие CA, опубликуйте issue для каждого, добавьте issuewild для wildcard, опционально iodef, затем проверьте инструментом до CSR или ACME order. Для темы «тег issue и authorized CA» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.
  2. CAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Перечислите текущие и будущие CA, опубликуйте issue для каждого, добавьте issuewild для wildcard, опционально iodef, затем проверьте инструментом до CSR или ACME order. Для темы «issuewild и wildcard TLS» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.
  3. CAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Перечислите текущие и будущие CA, опубликуйте issue для каждого, добавьте issuewild для wildcard, опционально iodef, затем проверьте инструментом до CSR или ACME order. Для темы «iodef URL для incident reporting» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.
  4. CAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Перечислите текущие и будущие CA, опубликуйте issue для каждого, добавьте issuewild для wildcard, опционально iodef, затем проверьте инструментом до CSR или ACME order. Для темы «отсутствие CAA и permissive issuance» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.
  5. CAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Перечислите текущие и будущие CA, опубликуйте issue для каждого, добавьте issuewild для wildcard, опционально iodef, затем проверьте инструментом до CSR или ACME order. Для темы «проверка CAA перед renewal SSL» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.
  6. CAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Перечислите текущие и будущие CA, опубликуйте issue для каждого, добавьте issuewild для wildcard, опционально iodef, затем проверьте инструментом до CSR или ACME order. Для темы «critical flag для поддоменов» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

Что показывает результат

Результат разбит на сигналы, которые важны именно для этой проверки.

ПолеЗачем нужноПример
ДоменCAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Для темы «тег issue и authorized CA» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.Введите apex домен для сертификации или renewal.
Имя запросаCAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Для темы «issuewild и wildcard TLS» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.Убедитесь, что CAA опубликованы до заказа сертификата.
FoundCAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Для темы «iodef URL для incident reporting» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.Проверьте issue tags для выбранного CA.
ValidCAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Для темы «отсутствие CAA и permissive issuance» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.Сравните issuewild отдельно от apex issue.
RecordsCAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Для темы «проверка CAA перед renewal SSL» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.Добавьте iodef mailto или HTTPS при возможности.
issueCAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Для темы «critical flag для поддоменов» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.Повторите после TTL при смене CA.
issuewildCAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Для темы «тег issue и authorized CA» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.Введите apex домен для сертификации или renewal.
iodefCAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Для темы «issuewild и wildcard TLS» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.Убедитесь, что CAA опубликованы до заказа сертификата.

Когда проверка полезна

Используйте checker при миграции CA, планировании wildcard, security-опросниках и pre-renewal audit. CAA не заменяет SSL validation — сопоставьте с SSL Certificate Checker после issuance. Для темы «тег issue и authorized CA» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

Используйте checker при миграции CA, планировании wildcard, security-опросниках и pre-renewal audit. CAA не заменяет SSL validation — сопоставьте с SSL Certificate Checker после issuance. Для темы «issuewild и wildcard TLS» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

Используйте checker при миграции CA, планировании wildcard, security-опросниках и pre-renewal audit. CAA не заменяет SSL validation — сопоставьте с SSL Certificate Checker после issuance. Для темы «iodef URL для incident reporting» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

Используйте checker при миграции CA, планировании wildcard, security-опросниках и pre-renewal audit. CAA не заменяет SSL validation — сопоставьте с SSL Certificate Checker после issuance. Для темы «отсутствие CAA и permissive issuance» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

Используйте checker при миграции CA, планировании wildcard, security-опросниках и pre-renewal audit. CAA не заменяет SSL validation — сопоставьте с SSL Certificate Checker после issuance. Для темы «проверка CAA перед renewal SSL» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

Используйте checker при миграции CA, планировании wildcard, security-опросниках и pre-renewal audit. CAA не заменяет SSL validation — сопоставьте с SSL Certificate Checker после issuance. Для темы «critical flag для поддоменов» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

Что проверить, если результат странный

Если записей нет, запросите CAA на точном FQDN — обычно apex. Пустой ответ означает, что любой public CA может выпустить сертификат. После правок дождитесь TTL и сравните с dig +short CAA example.com. Для темы «тег issue и authorized CA» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

Если записей нет, запросите CAA на точном FQDN — обычно apex. Пустой ответ означает, что любой public CA может выпустить сертификат. После правок дождитесь TTL и сравните с dig +short CAA example.com. Для темы «issuewild и wildcard TLS» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

Если записей нет, запросите CAA на точном FQDN — обычно apex. Пустой ответ означает, что любой public CA может выпустить сертификат. После правок дождитесь TTL и сравните с dig +short CAA example.com. Для темы «iodef URL для incident reporting» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

Если записей нет, запросите CAA на точном FQDN — обычно apex. Пустой ответ означает, что любой public CA может выпустить сертификат. После правок дождитесь TTL и сравните с dig +short CAA example.com. Для темы «отсутствие CAA и permissive issuance» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

Если записей нет, запросите CAA на точном FQDN — обычно apex. Пустой ответ означает, что любой public CA может выпустить сертификат. После правок дождитесь TTL и сравните с dig +short CAA example.com. Для темы «проверка CAA перед renewal SSL» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

Если записей нет, запросите CAA на точном FQDN — обычно apex. Пустой ответ означает, что любой public CA может выпустить сертификат. После правок дождитесь TTL и сравните с dig +short CAA example.com. Для темы «critical flag для поддоменов» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

Как интерпретировать результат

CAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Для темы «тег issue и authorized CA» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

CAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Для темы «issuewild и wildcard TLS» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

CAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Для темы «iodef URL для incident reporting» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

CAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Для темы «отсутствие CAA и permissive issuance» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

CAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Для темы «проверка CAA перед renewal SSL» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

CAA (Certification Authority Authorization) публикуется DNS-записями CAA на apex домена. Перед выпуском сертификата публичные CA обязаны проверить CAA и соблюдать теги issue, issuewild и iodef. Для темы «critical flag для поддоменов» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

Рекомендуемый порядок действий

  1. Введите apex домен для сертификации или renewal.
  2. Убедитесь, что CAA опубликованы до заказа сертификата.
  3. Проверьте issue tags для выбранного CA.
  4. Сравните issuewild отдельно от apex issue.
  5. Добавьте iodef mailto или HTTPS при возможности.
  6. Повторите после TTL при смене CA.

Инструмент и ручная проверка

dig CAA example.com показывает RR, но не группирует issue/issuewild и не объясняет permissive absence. DNS Checker перечисляет CAA без issuance warnings. DN01 использует тот же Go lookup, что и production API. Для темы «тег issue и authorized CA» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

dig CAA example.com показывает RR, но не группирует issue/issuewild и не объясняет permissive absence. DNS Checker перечисляет CAA без issuance warnings. DN01 использует тот же Go lookup, что и production API. Для темы «issuewild и wildcard TLS» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

dig CAA example.com показывает RR, но не группирует issue/issuewild и не объясняет permissive absence. DNS Checker перечисляет CAA без issuance warnings. DN01 использует тот же Go lookup, что и production API. Для темы «iodef URL для incident reporting» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

dig CAA example.com показывает RR, но не группирует issue/issuewild и не объясняет permissive absence. DNS Checker перечисляет CAA без issuance warnings. DN01 использует тот же Go lookup, что и production API. Для темы «отсутствие CAA и permissive issuance» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

dig CAA example.com показывает RR, но не группирует issue/issuewild и не объясняет permissive absence. DNS Checker перечисляет CAA без issuance warnings. DN01 использует тот же Go lookup, что и production API. Для темы «проверка CAA перед renewal SSL» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

dig CAA example.com показывает RR, но не группирует issue/issuewild и не объясняет permissive absence. DNS Checker перечисляет CAA без issuance warnings. DN01 использует тот же Go lookup, что и production API. Для темы «critical flag для поддоменов» рассматривайте опубликованный CAA как контракт issuance, который CA проверяют при заказе. Зафиксируйте каждый tag, отдельно проверьте wildcard policy и iodef reporting перед renewal. После DNS-изменений повторите проверку того же домена.

Почему DN01

  • Live apex CAA lookup
  • Разбор issue, issuewild и iodef
  • Предупреждения при отсутствии CAA
  • Заметки об unknown tag и critical flag
  • Связка с SSL и DNS tools
  • Shareable URL результата CAA

FAQ

FAQ CAA record checker

DNS CAA, теги issue и issuewild, authorized CA и iodef reporting.

Что такое CAA DNS запись?

CAA — тип DNS, который указывает, какие CA могут выпускать TLS-сертификаты через теги issue, issuewild и iodef. руководстве по основам CAA

Где публиковать CAA?

Публикуйте CAA на apex сертифицируемого домена (example.com).

Чем issue отличается от issuewild?

issue регулирует обычные сертификаты; issuewild — wildcard отдельно по RFC 8659.

Как DN01 проверяет CAA?

DN01 делает live CAA lookup на apex, парсит теги и помечает missing или unknown policy.

Что если CAA отсутствует?

Без CAA любой public CA может выпустить сертификат — опубликуйте CAA до renewal.

Зачем проверять CAA перед renewal SSL?

Миграция CA и ACME падают, если CAA блокирует нового issuer — проверьте policy до заказа сертификата.

Соседние инструменты

Выберите следующий шаг в цепочке проверки домена или безопасности.

Весь каталог инструментов

Гайды

Практические руководства по CAA Record Checker: DNS-записи, типичные ошибки и ссылки на бесплатные инструменты DN01.

Вернуться к CAA Record Checker