Creare, modificare o eliminare un record CAA

Con un record CAA, il titolare di un dominio può determinare quali autorità di certificazione (CAA) sono autorizzate ad emettere certificati per il dominio o sottodominio. L'abbreviazione CAA sta per Certificate Authority Authorization.

L'aggiunta di un record CAA ha lo scopo di evitare che i certificati vengano rilasciati e utilizzati in modo errato per un dominio o sottodominio.

Quando viene creato un record CAA per un dominio, questo viene "ereditato" anche dai sottodomini esistenti. Esempio: se configuri una record CAA per il dominio esempio.com, il record viene applicato anche al sottodominio www.esempio.com.

Se lo desideri, è anche possibile aggiungere più record CAA per lo stesso dominio o sottodominio. Questo può essere necessario, ad esempio, se desideri consentire all'autorità di certificazione di rilasciare sia certificati specifici che certificati wildcard.

Prima del rilascio di un certificato, i record CAA devono essere verificati dalla rispettiva autorità di certificazione. Quest'ultima può rilasciare il certificato se viene soddisfatta una delle seguenti condizioni:

• L'autorità di certificazione non trova alcun record CAA per il tuo dominio o sottodominio.

• L'autorità di certificazione trova un record CAA per il tuo dominio o sottodominio che la autorizza a rilasciare un certificato per il tuo dominio.

Ogni record CAA dispone di un "flag" e un "tipo".

Flag

Nel campo Flag, puoi selezionare i valori "Non critico (0)" o "Critico (128)":

• 0 (non critico): se imposti questo flag, le autorità di certificazione ignoreranno tutte le voci del record CAA che non possono essere valutate.
• 128 (critico): se imposti questo flag, le autorità di certificazione non rilasciano alcun certificato se le voci nel registro CAA non possono essere valutate.

Tipo

Quando crei un record CAA, puoi selezionare uno dei seguenti 3 tipi:

• Issue: definisci la Certification Authority (CA): specifica che l'autorità di certificazione definita nel campo Valore può rilasciare un certificato per il tuo dominio o sottodominio.

• Issuewild: la Certification Authority (CA) è autorizzata a rilasciare certificati Wildcard: specifica che l'autorità di certificazione definita nel campo Valore può rilasciare certificati wildcard per il tuo dominio o sottodominio. Se selezioni il tipo "Issuewild", l'autorità di certificazione non è autorizzata a rilasciare un certificato specifico per il dominio. Per consentire all'autorità di certificazione di creare certificati specifici per il dominio, è necessario creare una record CAA separato con il tipo "Issue: definisci la Certification Authority (CA)".

• Iodef: metti a disposizione un indirizzo e-mail alla Certification Authority (CA) per mettersi in contatto: se selezioni questo tipo, puoi dare all'autorità di certificazione un tuo contatto. Hai la possibilità di inserire un indirizzo e-mail oppure un URL. Non tutte le autorità di certificazione supportano questo tipo.

Esempi:

Nell'esempio seguente, è stato selezionato il flag Critico (128) e il tipo Issue: definisci la Certification Authority (CA). Come autorità di certificazione è stata inserita sectigo.com.

Con queste impostazioni per il record CAA, l'autorità di certificazione s###SSL_PARTNER### è autorizzata a rilasciare certificati semplici.

In questo esempio, Sectigo viene autorizzata a rilasciare certificati Wildcard:

Con queste impostazioni per il record CAA, l'autorità di certificazione Sectigo è autorizzata a rilasciare certificati Wildcard.

Per evitare che vengano emessi certificati semplici o Wildcard per il dominio desiderato, è necessario creare due record CAA, che contengano un punto e virgola nel campo Valore.

Nell'esempio seguente è stata inoltre data la possibilità all'autorità di certificazione di contattare il titolare del dominio:

Puoi creare un record CAA nel tuo account su IONOS:

• Su IONOS, apri la sezione Domini & SSL e successivamente clicca sul dominio desiderato.
  Accedi e apri la sezione Domini & SSLApri la sezione Domini & SSL

• Clicca sulla scheda DNS e, sulla pagina che si apre, clicca su Aggiungi record.

• Clicca sulla riga CAA.

• Nel campo Nome host, inserisci l'host desiderato, come www o @. Il carattere @ viene utilizzato come carattere jolly e assicura che si possa accedere al dominio tramite www e tutti i sottodomini.

• Nel campo Valore, immetti il valore desiderato. Puoi richiedere il valore necessario alla rispettiva autorità di certificazione. Se hai acquistato un certificato SSL da IONOS, inserisci il valore sectigo.com.

• Seleziona il flag desiderato.

• Seleziona il tipo desiderato.

• Opzionale: seleziona il TTL (Time-To-To-Live) desiderato.
  Per impostazione predefinita, le impostazioni sono immediatamente attive.

• Clicca su Salva.

Puoi visualizzare i record CAA che hai creato nella sezione DNS di ciascun dominio sul tuo account IONOS. Qui puoi modificare i record CAA in qualsiasi momento:

• Su IONOS, apri la sezione Domini & SSL e successivamente clicca sul dominio desiderato.
  Accedi e apri la sezione Domini & SSLApri la sezione Domini & SSL

• Clicca sulla scheda DNS e, sulla pagina che si apre, clicca sul record CAA che desideri modificare.

• Apporta le modifiche necessarie.

• Clicca su Salva.

Puoi eliminare un record CAA in qualsiasi momento. Per farlo, procedi come segue:

• Su IONOS, apri la sezione Domini & SSL e successivamente clicca sul dominio desiderato.
  Accedi e apri la sezione Domini & SSLApri la sezione Domini & SSL

• Clicca sulla scheda DNS e, nella pagina che si apre, seleziona la casella in corrispondenza del record CAA che desideri eliminare.

• Nella riga azzurra che compare in alto, clicca su Elimina i record.

• Conferma di voler eliminare il record cliccando su Elimina.