Che cos'è la CAA? Capire l'autorizzazione dell'autorità di certificazione

Immaginate il vostro dominio come un luogo digitale privato in cui ogni visitatore deve avere la prova di trovarsi nel posto giusto. Certificate Authority Authorization (CAA) agisce come un elenco esclusivo di ospiti del vostro dominio, determinando quali Certificate Authority (CA) possono emettere certificati SSL/TLS per vostro conto. 

Senza questo record, qualsiasi CA potrebbe emettere un certificato per il vostro dominio, consentendo potenzialmente a chi si spaccia per voi. Un record CAA correttamente configurato rafforza la credibilità del vostro sito, impedisce l'emissione di certificati non autorizzati e garantisce la protezione dell'identità digitale del vostro marchio.

Che cos'è un record CAA?

Un record CAA è una semplice voce nel DNS che agisce come un elenco personale e pubblico di buttafuori. Dice esplicitamente al mondo: "Solo queste autorità di certificazione specifiche e pre-approvate sono autorizzate a emettere certificati certificati SSL/TLS per il mio dominio".

Non si tratta di un semplice suggerimento, ma di una regola obbligatoria per le autorità di certificazione, come definito dal Forum CA/Browser. Forum CA/Browser Requisiti di base. Ogni CA deve controllare il record CAA dell'utente prima di emettere un certificato e, se non è autorizzato, deve rifiutare l'emissione.

Perché la CAA è importante?

In un mondo senza hacker, una politica di porte aperte sarebbe andata bene. Ma il web è una città caotica e in fermento. Una politica della porta aperta, applicata da un registro CAA, è essenziale per diversi motivi:

Previene gli imitatori

I record CAA impediscono alle CA non autorizzate di emettere certificati fraudolenti per il vostro dominio, impedendo così ai truffatori digitali di creare una falsa vetrina convincente accanto alla vostra.

Protegge la vostra reputazione

Un certificato contraffatto può essere utilizzato in attacchi di phishing o schemi "man-in-the-middle", collegando il vostro marchio di fiducia ad attività criminali. Un record CAA è la prima linea di difesa contro questi danni alla reputazione.

Applicazione degli standard di sicurezza

Siete voi a scegliere le CA che soddisfano i vostri standard di sicurezza e di controllo. CAA garantisce che nessun altro, né un partner compromesso, né un dipendente disonesto, né un abile attaccante, possa aggirare la vostra scelta.

È un segno di controllo della conformità

Per le organizzazioni che aderiscono a rigorosi framework di sicurezza come NIST o PCI DSS, dimostrare il controllo sull'emissione dei certificati non è solo una buona pratica, ma spesso un requisito.

Come funziona una registrazione CAA?

Quando una CA riceve una richiesta di certificato per il vostro dominio, controlla il vostro DNS alla ricerca del record CAA. Il record stesso è un'istruzione chiara, composta da tre parti: un flag, un tag e un valore.

La documentazione della CAA segue questa struttura:

example.com. IN CAA <flag> <tag> <value>

In genere, il flag è 0 e possono coesistere più record, uno per ogni istruzione di autorizzazione.

• Flag: Il flag è solitamente impostato su 0. Tuttavia, impostandolo su 128 (il flag "critico") si indica alla CA di rifiutare l'emissione se non riconosce il tag, aggiungendo un ulteriore livello di sicurezza.
• Tag: Questa è l'istruzione specifica. Esistono tre comandi principali:
  • questione: Autorizza una CA a emettere certificati standard.
  • issuewild: Concede l'autorizzazione per wildcard (ad esempio, *.example.com). Questo può essere assegnato alla stessa CA o a una CA diversa da quella di emissione tag.
  • iodef: È l'istruzione "segnala un incidente". Fornisce un indirizzo e-mail al quale la CA può inviare una notifica se qualcuno ha cercato di di ottenere un certificato senza autorizzazione.
• Valore: È il nome della CA autorizzata o l'indirizzo e-mail di segnalazione.

Impostazione di un record CAA

L'impostazione di un record CAA si effettua nella console di gestione DNS.

1. Inserire il proprio DNS: Accedere alla registrazione del dominio o al provider DNS.

2. Pubblicare una nuova regola: Individuare l'area per aggiungere un nuovo record DNS.

3. Scrivere l'istruzione:

• • Tipo: CAA
  • Host/Nome: Il vostro dominio (ad es, esempio.com)
  • Tag: Scegliere questione, issuewildo iodef.
  • Valore: Inserire il nome del dominio della CA tra virgolette (ad es, "digicert.com").
  • Bandiera: Impostare su 0.

4. Pubblicare e verificare: Salvare il record. Le modifiche DNS possono richiedere tempo per diffondersi su Internet. Utilizzate il verificatore CAA online di PowerDMARC. CAA per assicurarsi che il vostro criterio sia visibile e corretto.

Come può aiutare PowerDMARC 

Il Certification Authority Authorization Checker di PowerDMARC è lo strumento che utilizzate per controllare la vostra politica delle porte. È un'utility potente e gratuita progettata per verificare istantaneamente i record delle CAA e confermare che solo le CA scelte sono presenti nell'elenco.

Fase 1: Registrazione gratuita a PowerDMARC 

L'iscrizione vi dà accesso a un'intera suite di strumenti di autenticazione DNS ed e-mail per mantenere il vostro dominio sicuro.

Passo 2: accedere a Strumenti di analisi > Strumenti di ricerca > CAA Checker 

Dal menu principale, navigare verso i nostri Strumenti di analisi. Il CAA Checker si trova nella scheda Strumenti di ricerca.

Passo 3: Inserire il nome di dominio 

Immettere il dominio che si desidera ispezionare (ad es, powerdmarc.com) nella casella degli strumenti e premere il pulsante "Cerca".

Fase 4: Esaminare l'elenco degli autorizzati 

Lo strumento interrogherà immediatamente il vostro DNS e visualizzerà la vostra politica CAA attiva. È possibile esaminare le CAA autorizzate e individuare facilmente quelle che non dovrebbero essere presenti. Lo strumento evidenzia anche il TTL (Time to Live) di ciascun record.

Fase 5: Correggere eventuali problemi 

Se il checker rileva configurazioni errate o voci non autorizzate, è possibile utilizzare le informazioni dettagliate per tornare al proprio provider DNS e risolvere il problema.

Importante: Un buon CAA checker vi aiuterà a prevenire l'emissione di certificati non autorizzati, ad aumentare la sicurezza del dominio, a identificare e risolvere efficacemente le configurazioni errate, nonché a garantire la conformità e una migliore gestione dei certificati SSL.

Errori da principiante da evitare

• Errori nell'elenco: Il nome di una CA è scritto in modo errato ("digicert.co" invece di "digicert.com") la bloccherà completamente.
• Dimenticare il rapporto iodef: Non dire al buttafuori dove inviare i rapporti sugli incidenti significa che non saprete mai se qualcuno sta testando la vostra sicurezza.
• Politiche "One-Size-Fits-All": Se si utilizza una CA per i domini standard e un'altra per quelli jolly, sono necessari due record separati (problema e issuewild).

CAA e altri protocolli di sicurezza DNS

Il record CAA è la sicurezza della porta d'ingresso, ma che dire della posta? È qui che entrano in gioco altri protocolli di sicurezza DNS. SPF, DKIM e DMARC sono il team di sicurezza che ispeziona ogni messaggio di posta elettronica inviato dal vostro dominio, assicurandosi che non sia contraffatto.

Mentre la CAA protegge la vostra identità web, il DMARC protegge la vostra identità e-mail. Insieme, formano un dettaglio di sicurezza completo, garantendo che ogni interazione digitale associata al vostro dominio sia autentica e affidabile.

La parola finale

Controllate completamente chi emette i certificati SSL/TLS per il vostro dominio. Un record CAA funge da elenco autorizzato di autorità di certificazione approvate e impedisce a chiunque altro di creare un certificato a vostro nome. 

Si tratta di un'ottima difesa contro gli attacchi di phishing e di impersonificazione del marchio che possono erodere la fiducia dei clienti. Ma la semplice creazione del record non è sufficiente. Per assicurarsi che funzioni correttamente, è necessaria una verifica regolare. PowerDMARC fornisce gli strumenti esperti necessari non solo per verificare la configurazione della CAA, ma anche per implementare una difesa completa a più livelli che integri la sicurezza del web e della posta elettronica. 

Non lasciate al caso il vostro processo di emissione dei certificati. Registratevi con PowerDMARC per utilizzare il nostro CAA Checker gratuito, convalidare la vostra posizione di sicurezza e ottenere visibilità e controllo completi sui protocolli di autenticazione del vostro dominio.

Domande frequenti 

A cosa serve un record CAA?

Un record CAA è un criterio pubblico nel vostro DNS che dichiara quali specifiche Autorità di certificazione sono autorizzate a emettere certificati SSL/TLS per il vostro dominio.

Ho bisogno di un record CAA per il mio dominio?

No, non è obbligatorio per il funzionamento di un sito web. Tuttavia, senza di esso, qualsiasi CA può emettere un certificato per il vostro dominio se la richiesta supera la sua convalida. Questo crea un potenziale rischio per la sicurezza.

Posso avere più registri CAA?

Assolutamente sì. Se si utilizza più di un'autorità di certificazione, è sufficiente creare un record CAA di issue o issuewild separato per ogni fornitore autorizzato.

Cosa succede se non stabilisco un record CAA?

Se non avete un record CAA, state essenzialmente dicendo al mondo che non avete preferenze. Ciò significa che una qualsiasi delle centinaia di CA può emettere un certificato per il vostro dominio, il che aumenta significativamente la superficie per potenziali emissioni errate, sia accidentali che dolose.

• Informazioni su
• Ultimi messaggi

Yunes Tarada

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.

Ultimi messaggi di Yunes Tarada (vedi tutti)

• Che cos'è un controllore di recapito delle e-mail? Migliorare i tassi di posta in arrivo - 13 novembre 2025
• Guida all'installazione di SPF, DKIM e DMARC su cPanel - 13 novembre 2025
• Come controllare la deliverability delle e-mail: Strumenti e suggerimenti - 11 novembre 2025