Come posso cercare un valore del record CAA delle autorità di certificazione?

6

Vorrei pubblicare un record CAA per un dominio e mentre conosco il formato non lo faccio sapere cosa usare per il valore. Ad esempio, i certificati Comodo utilizzerebbero 0 issue "comodoca.com" e Certbot utilizzerebbe 0 issue "letsencrypt.org" . Ho bisogno di un modo per cercare cosa usare per il valore quotato quando non è noto.

So che esistono generatori di record CAA online ma la CA che uso non è elencata. C'è un modo per cercare online o estrarre il valore da uno dei certificati nella catena di fiducia?

In questo caso, sto cercando di imparare cosa usare per Amazon CloudFront (ora che Route 53 supporta CAA) ma vorrei sapere come trovare questo valore per qualsiasi emittente. Una soluzione CLI che utilizza openssl sarebbe ottima ma anche un elenco online va bene.

EDIT: il controllo dei record CAA diventa obbligatorio per CA due settimane da oggi e confronto questo elenco incompleto suggerito nelle risposte contro l'elenco di CA di Mozilla mostra un'enorme discrepanza. Per i proprietari di domini che desiderano pubblicare i record CAA oggi e autorizzare selettivamente le CA attendibili, non c'è materiale di riferimento online?

    
posta Tom Brossman 24.08.2017 - 15:58
fonte

1 risposta

3

Il modo migliore che riesco a pensare è chiedere al registro CAA il dominio degli emittenti. Molto probabilmente lo hanno impostato per i propri domini. L'ho provato con alcuni e sembra funzionare per alcuni.

$ dig caa comodo.com
...
comodo.com.     1013    IN  CAA 0 issue "comodoca.com"
...
$ dig caa symantec.com
...
symantec.com.       3599    IN  CAA 0 issue "symantec.com"
...
$ dig caa digicert.com
...
digicert.com.       3599    IN  CAA 0 issue "digicert.com"
...

vcjones ha anche indicato che esiste un elenco gestito da Mozzila qui .

Oltre a questi, la soluzione migliore è probabilmente chiedere alla CA quale valore hanno bisogno in questo campo.

    
risposta data 24.08.2017 - 22:03
fonte

Leggi altre domande sui tag