I januar 2024 fikk en norsk bedrift e-post fra sin sertifikat-leverandør: noen hadde forsøkt å utstede et SSL-sertifikat for bedriftens domene gjennom en helt annen CA. Forespørselen ble blokkert automatisk. Grunnen: én eneste linje i DNS-oppsettet.
Det heter CAA-record, og det er den mest undervurderte sikkerhetsmekanismen du kan sette opp i dag. Likevel mangler 9 av 15 domener vi overvåker denne beskyttelsen, selv om det tar under ti minutter å fikse.
Hva er CAA, og hvorfor trenger du det?
CAA står for Certification Authority Authorization. Det er en DNS-record som eksplisitt forteller hvilke Certificate Authorities (CA-er) som har lov til å utstede SSL-sertifikater for ditt domene.
Uten CAA-record kan alle offentlige CA-er utstede sertifikat for ditt domene, så lenge de klarer å validere eierskap. Det høres greit ut, til en angriper kompromitterer en DNS-tjener midlertidig, bestikker en ansatt hos en mindre kjent CA, eller utnytter en administrativ svakhet.
Med CAA-record definerer du en hviteliste. Hvis en CA ikke står på lista, nektes forespørselen automatisk. Ingen manuell godkjenning nødvendig, ingen varsel du må se. Systemet jobber for deg.
Hvordan angrep fungerer uten CAA
Et typisk scenario: En angriper kaprer DNS-pekeren din i noen timer, bytter ut A-recorden til sin egen server, og sender en sertifikat-forespørsel til en lavpris-CA som validerer via HTTP-utfordring. CA-en ser at domenet peker til angriperens server, utsteder sertifikatet, og plutselig finnes det et legitimt HTTPS-sertifikat for ditt domene, signert av en offentlig CA, som kan brukes i phishing-kampanjer.
Med CAA blir forespørselen avvist før den når godkjenningsstadiet. CA-en sjekker DNS, ser at de ikke står på lista, og avslutter prosessen.
Hvordan implementere CAA på 10 minutter
Du trenger kun å vite hvilken CA du bruker. Hvis du har sertifikat fra Let's Encrypt, se slik ut:
1. Logg inn på DNS-leverandøren din (Cloudflare, DigitalOcean, domeneshop.no, Domeneleverandør AS, osv.)
2. Legg til en CAA-record med følgende verdier:
- Type: CAA
- Navn/Host: @ (eller tomt felt for root-domenet)
- Tag: issue
- Verdi: letsencrypt.org (eller din CA, f.eks. digicert.com, sectigo.com)
- TTL: 3600 (én time)
Hvis du vil tillate wildcard-sertifikater, legg til én record til:
- Tag: issuewild
- Verdi: letsencrypt.org
Hvis du vil ha varsling når noen prøver uautorisert utstedelse:
- Tag: iodef
- Verdi: mailto:sikkerhet@dittdomene.no
3. Verifiser med DNS-oppslag:
Kjør dig CAA dittdomene.no eller bruk et online verktøy. Du skal se recorden dukke opp innen få minutter.
Ferdig. Ingen server-restart, ingen sertifikat-fornyelse, ingen nedetid.
Vanlige feil og misforståelser
«Jeg fornyer sertifikat manuelt. Hva hvis CAA blokkerer meg?»
CAA blokkerer bare CA-er som ikke står på lista. Så lenge du legger til din egen CA (f.eks. Sectigo, DigiCert, GlobalSign), vil fornyelse fungere som normalt. Problemet oppstår bare hvis du senere bytter CA uten å oppdatere CAA.
«Hva hvis vi bruker flere CA-er?»
Legg til flere issue-records, én per CA. DNS tillater dette.
«Gjelder CAA også for subdomener?»
Ja, med mindre subdomenet har sin egen CAA-record. CAA arves nedover i DNS-hierarkiet. Hvis example.com har CAA, gjelder den også for blog.example.com, med mindre blog.example.com har sin egen CAA som overstyrer.
Hva vi ser i overvåkte domener
Av 15 domener vi kontinuerlig overvåker gjennom Sentinel, mangler 9 CAA-record. Samtidig har 9 svak eller manglende DMARC, og 4 har DNSSEC avslått. Dette er ikke tilfeldige tall. Det er et mønster: DNS-sikkerhet blir nedprioritert fordi det virker komplisert.
Det er det ikke. CAA er én linje. DMARC er to linjer. DNSSEC er ett par klikk hos de fleste DNS-leverandører. Sammen utgjør de et forsvarslag som koster null kroner, men som blokkerer angrep verdt millioner.
Verifiser ditt eget domene nå
Du trenger ikke vente på neste sikkerhetskonsulent-rapport eller external audit. Gå til /sentinel/#/tools/certscan og skann ditt domene. Verktøyet sjekker SSL-sertifikat, CAA-records, og om din CA matcher autoriserte utstedere.
Hvis du vil ha kontinuerlig overvåkning, daglige sjekker av CAA, DNSSEC, SPF, DKIM, DMARC, SSL-utløp, og varsling ved endringer, gir Sentinel PLUSS dette som standard. Les mer på /sentinel/.
CAA er ikke den mest sexy sikkerhetstiltaket. Men det er en av de mest effektive. Ti minutter investert i dag kan blokkere et phishing-angrep i morgen.