logo
logo
  • Home
  • /
  • Media
  • /
  • News
  • /
  • Controllo delle risorse DNS CAA S/MIME 2025 obbligatorio

Controllo delle risorse DNS CAA S/MIME 2025 obbligatorio

  • 02/24/2026

Aggiornamento: controllo delle risorse DNS CAA obbligatorio nel 2025  

Le CA come DigiCert inizieranno a controllare i record di risorse CAA prima di emettere un certificato Secure Email (S/MIME) con un indirizzo di casella di posta elettronica. Ecco il loro annuncio ufficiale: 

A partire dal 13 marzo 2025, alle ore 10:00 MDT (16:00 UTC), DigiCert controllerà, elaborerà e rispetterà i record di risorse DNS Certification Authority Authorization (CAA) dei tuoi domini di posta elettronica prima di emettere i tuoi certificati Secure Email (S/MIME). 

 

Già nel 2017 era obbligatorio per SSL/TLS, ma a partire dal 13 marzo 2025 questo controllo verrà effettuato anche per i certificati S/MIME.  

Controlla di aver configurato i record DNS CAA affinché la tua CA possa emettere certificati S/MIME. 

 

Record e certificati DNS 

Fondamentalmente, il DNS, o Domain Name System, funge da spina dorsale di Internet. Fornisce una struttura gerarchica fluida che trasforma i nomi di dominio comprensibili dall’uomo in indirizzi IP numerici. Questo fondamentale processo di traduzione consente agli utenti di navigare sul web senza sforzo, consentendo loro di accedere a siti web e servizi tramite nomi facili da ricordare anziché tramite una stringa di numeri poco chiara. 

La magia del DNS risiede in una complessa rete di server che gestiscono con cura la risoluzione dei nomi di dominio nei corrispondenti indirizzi IP. Quando un utente digita un dominio nel browser, il DNS interviene come un facilitatore fondamentale, indirizzandolo al sito o al servizio giusto e migliorando la sua esperienza online. Questa funzionalità non solo semplifica l’esperienza utente, ma favorisce anche una connettività ininterrotta nell’ampio panorama del web. 

Disporre di record DNS accurati è fondamentale per preservare una presenza online sicura, affidabile e accessibile. Svolgono un ruolo fondamentale nel garantire il corretto funzionamento del sito web, l’affidabilità della consegna delle email e il rispetto dei requisiti normativi, rafforzando al contempo le difese contro potenziali minacce alla sicurezza. Nel mondo della connettività digitale, un solido framework DNS è essenziale per mantenere una presenza online ininterrotta. 

Che cos’è un controllo del record di risorse DNS CAA? 

La verifica dei record di risorse DNS CAA (Certificate Authority Authorization) è un processo fondamentale che consente alle autorità di certificazione (CA) di confermare se possiedono l’autorizzazione a emettere certificati SSL/TLS o S/MIME per un dominio designato. Questa fase di verifica prevede l’interrogazione del DNS del dominio per i record CAA, che elencano esplicitamente le CA autorizzate a emettere certificati per quel particolare dominio. 

  

Sfruttando i record DNS CAA, i proprietari di domini possono migliorare il proprio livello di sicurezza. Questo meccanismo impedisce alle CA non autorizzate di rilasciare certificati, garantendo che solo le entità approvate abbiano la possibilità di convalidare e proteggere il dominio. Pertanto, i record CAA svolgono un ruolo essenziale nel rafforzare l’integrità dei certificati digitali e promuovere la fiducia nelle comunicazioni online. In un’epoca in cui le violazioni della sicurezza sono sempre più diffuse, implementare un controllo approfondito dei record DNS CAA è una misura proattiva che ogni proprietario di dominio dovrebbe adottare. 

 

Controllo delle risorse DNS CAA nel 2025 

Le CA come DigiCert inizieranno a controllare i record di risorse CAA prima di emettere un certificato Secure Email (S/MIME) con un indirizzo di casella di posta elettronica. Ecco il loro annuncio ufficiale: 

A partire dal 13 marzo 2025, alle ore 10:00 MDT (16:00 UTC), DigiCert controllerà, elaborerà e rispetterà i record di risorse DNS Certification Authority Authorization (CAA) dei tuoi domini di posta elettronica prima di emettere i tuoi certificati Secure Email (S/MIME). 

 

Già nel 2017 era obbligatorio per SSL/TLS, ma a partire dal 13 marzo 2025 questo controllo verrà effettuato anche per i certificati S/MIME. 

 

Come controllare le impostazioni dei record DNS e CAA? 

I record CAA sono configurati nelle impostazioni del server DNS del tuo ISP, il cui accesso potrebbe richiedere diversi passaggi. Un metodo più efficiente per verificare questi record è utilizzare uno strumento di terze parti che recupera le informazioni DNS a livello globale. Uno di questi strumenti è DNS Checker. Puoi richiedere le tue informazioni DNS qui:  

 

https://dnschecker.org/all-dns-records-of-domain.php 

 

 

Come funziona il controllo dei record di risorse DNS CAA? 

Prima dell’emissione di un certificato TLS/SSL o di un certificato Secure Email (S/MIME), l’Autorità di Certificazione (CA), come DigiCert, esegue un controllo dei record CAA del dominio o della casella di posta. Questa verifica garantisce che la CA sia autorizzata a emettere il certificato richiesto, rafforzando l’affidabilità e la sicurezza delle comunicazioni digitali.  

Come funziona il controllo 

  • Presenza di record CAA: prima di emettere un certificato, una CA verifica la presenza di record CAA per il dominio. Se non vengono trovati record CAA, la CA può emettere il certificato in quanto non sono soggetti ad alcuna autorizzazione specifica. 
  • Controllo dell’autorizzazione: se sono presenti record CAA, la CA verifica se è elencata come emittente autorizzato nei record. In caso affermativo, può procedere con l’emissione del certificato. In caso contrario, non può emettere il certificato. 
  • Gestione CNAME: se il dominio ha un record CNAME che punta a un altro dominio, la CA segue fino a otto livelli di target CNAME per trovare un record CAA. La ricerca si interrompe una volta trovato un record CAA e la relativa policy viene applicata. 

 

 

Una CA può rilasciare il certificato TLS o S/MIME se si verifica una delle seguenti condizioni: 

  • Non trovano un record CAA per il tuo dominio. 
  • Trovano un record CAA per il tuo dominio che li autorizza a rilasciare quel certificato. 
  • Certificato S/MIME: yourdomain CAA 0 issuemail “digicert.com” 
  • Trovano solo i record CAA per il tuo dominio senza i tag di proprietà “issue”, “issuewild” o “issuemail”. 

 

Un record di risorse CAA NON è richiesto 

Un record CAA  NON è OBBLIGATORIO  affinché DigiCert possa rilasciare un certificato TLS/SSL o un certificato Secure Email (S/MIME). Le informazioni fornite di seguito sono valide solo se ci si trova in una di queste situazioni: 

  • Impostare i record CAA per i domini TLS e i domini delle caselle di posta 
  • Pianifica di aggiungere record di risorse CAA per i tuoi domini TLS e domini di cassette postali 

Formato di un record CAA 

Il formato di un record CAA è strutturato in modo da includere diversi componenti chiave che specificano quali Autorità di Certificazione (CA) sono autorizzate a emettere certificati per un dominio. Ecco il formato tipico: 

“nome CAA <flag> <tag> valore” 

 

Esempio di un record CAA 

Ecco un esempio di un record CAA che autorizza Let’s Encrypt a rilasciare certificati standard per un dominio: 

domain.com CAA 0 problema “globalsign.com” 

 

Ecco una ripartizione dei campi e dei tag: 

Campi in un record CAA 

  • Nome
  • Descrizione: Il nome di dominio. 

 

  • Bandiera
  • Descrizione : questo campo indica se la proprietà è critica o non critica. Attualmente sono supportati solo due valori: 0 (non critico) e 128 (critico). 
  • Utilizzo : il flag critico (128) viene utilizzato con i tag personalizzati per garantire che una CA debba comprendere la proprietà prima di procedere. Tuttavia, per i tag standard come issue, issuewild e iodef, è sufficiente un flag pari a 0. 

 

  • Etichetta
  • Descrizione : specifica il tipo di proprietà definita. I tag comuni includono: 
  • problema : autorizza una CA a emettere certificati SSL standard (senza caratteri jolly). 

example.com CAA 0 problema “digicert.com” 

  • issuewild : autorizza una CA a emettere certificati SSL con caratteri jolly. 

esempio.com CAA 0 issuewild “digicert.com” 

  • iodef : specifica un indirizzo email o un URL per segnalare i tentativi di rilascio del certificato non riusciti. 

esempio.com CAA 0 iodef “mailto:esempio@esempio.com” 

  • Issuevmc : questa proprietà è specifica dei certificati VMC. 

esempio.com CAA 0 issuevmc “digicert.com” 

  • Issuemail : questa proprietà è specifica dei certificati S/MIME. 

mail.example.com CAA 0 issuemail “digicert.com” 

  • Utilizzo : questi tag determinano il tipo di emissione del certificato consentito dalla CA specificata. 

 

  • Valore
  • Descrizione : questo campo contiene il valore associato al tag. Per issue e issuewild, specifica il nome di dominio della CA autorizzata (ad esempio, “letsencrypt.org”). Per iodef, fornisce un indirizzo email o un URL per le notifiche. 
  • Utilizzo : il valore è fondamentale per identificare quale CA è autorizzata o dove devono essere inviate le notifiche. 

 

Come posso impostare un record CAA per il mio dominio 

Creare un record CAA (Certificate Authority Authorization) per il tuo dominio è un passaggio fondamentale per salvaguardare la tua identità digitale. Questo processo comporta la selezione di specifiche Autorità di Certificazione (CA) autorizzate a rilasciare certificati SSL per tuo conto. 

 Ecco una semplice guida per aiutarti a configurare il tuo record CAA: 

 

Passaggi per impostare un record CAA 

1. Accedi alle tue impostazioni DNS : 

  • Accedi al pannello di controllo del tuo registrar di domini o provider DNS. Potrebbe trattarsi di servizi come Hostinger, Namecheap o Cloudflare. 

2. Vai a Gestione DNS : 

  • Individua la sezione Gestione DNS. Potresti trovarla etichettata come “Impostazioni DNS”, “Gestione DNS” o “Gestisci DNS”. 

3. Aggiungi un nuovo record DNS : 

  • Fare clic su “Aggiungi nuovo record” o “Crea record DNS”. Tra le opzioni disponibili, selezionare “CAA” come tipo di record. 

4. Inserisci i dettagli del record CAA : 

  • Nome: inserisci @ per il dominio radice o specifica un sottodominio, se necessario. Il simbolo @ rappresenta il dominio radice e si applicherà a tutti i sottodomini, a meno che un record CAA specifico per un sottodominio non lo sovrascriva. 
  • Flag: in genere impostato su 0, a indicare che il record non è critico. Sebbene un flag pari a 128 possa contrassegnarlo come critico, questa impostazione viene raramente utilizzata. 
  • Tag: scegli issue per i certificati standard, issuewild per i certificati con caratteri jolly, issuevmc per i certificati vmc, issuemail per S/MIME o iodef per segnalare i tentativi di emissione di certificati non riusciti. 
  • Valore: immettere il nome di dominio della CA autorizzata (ad esempio, “digicert.com” o “globalsign.com”). 
  • TTL (Time To Live): definisce il TTL per determinare per quanto tempo il record rimane memorizzato nella cache dai resolver DNS. Le impostazioni comuni sono di circa 3600 secondi (1 ora). 

5. Salva il record : 

  • Una volta inseriti tutti i dati, assicurati di salvare il record CAA. Tieni presente che potrebbe volerci del tempo prima che le modifiche vengano propagate su Internet. 

 

Esempio di record CAA 

Per un dominio che utilizza Let’s Encrypt, il record CAA potrebbe apparire così: 

  • Nome : @ 
  • Bandiera : 0 
  • Tag : problema 
  • Valore : google.com 
  • Tempo di risposta : 3600 

Se è necessario autorizzare più CA, creare record CAA separati per ciascuna di esse. 

 

Note importanti 

  • Verifica il supporto del provider DNS : assicurati che il tuo provider DNS supporti i record CAA, poiché non tutti i provider offrono questa funzionalità. È fondamentale verificarne la compatibilità per implementare CAA in modo efficace. 
  • Ambito dei record CAA : ricorda che i record CAA si applicano per impostazione predefinita al dominio radice e ai suoi sottodomini, a meno che non sia configurato un record di sottodominio specifico per ignorare questa impostazione. Ciò significa che un singolo record CAA può coprire più sottodomini, migliorando il framework di sicurezza dell’intero dominio. 

 

Tenendo conto di questi fattori, puoi gestire in modo più efficace la sicurezza del tuo dominio e garantire che i tuoi record CAA siano impostati correttamente, fornendo la protezione necessaria contro l’emissione di certificati non autorizzati. 

 

Perché è necessario il controllo del record di risorse DNS CAA? 

Il controllo del record di risorse DNS CAA (Certificate Authority Authorization) è più di un semplice meccanismo tecnico; funge da salvaguardia fondamentale nell’ambito della sicurezza digitale per diverse ragioni convincenti: 

Miglioramento della sicurezza : il motivo principale per l’implementazione dei record CAA è il miglioramento della sicurezza. Designando le autorità di certificazione (CA) autorizzate a emettere certificati per un dominio, i record CAA impediscono efficacemente l’acquisizione di certificati da parte di CA non autorizzate o dannose. Questa misura è essenziale per mitigare i rischi associati al furto di identità e agli attacchi di phishing, in cui gli aggressori potrebbero trarre vantaggio dall’emissione di certificati non regolamentata. 

Controllo sull’emissione dei certificati : i record CAA offrono ai proprietari di domini un maggiore controllo sulle proprie policy di sicurezza. Consentendo loro di specificare con precisione quali CA possono emettere certificati, questi record garantiscono che solo entità attendibili possano supervisionare l’identità digitale del dominio. Questa maggiore supervisione riduce significativamente il rischio di emissione di certificati, sia accidentale che fraudolenta. 

Conformità agli standard di settore : da settembre 2017, è obbligatorio per le CA eseguire una verifica dei record CAA prima di emettere certificati. Questa conformità rafforza il quadro di sicurezza in cui operano le CA e dimostra l’impegno del settore nel mantenere le migliori pratiche nella gestione dei certificati. 

In sintesi, il controllo dei record di risorse DNS CAA è una componente cruciale per rafforzare la sicurezza e l’integrità dei domini online. Offrendo un ulteriore livello di controllo e conformità, consente ai proprietari di domini di gestire efficacemente le proprie identità digitali e mitigare i rischi associati all’emissione non autorizzata di certificati.  

 

Rischi di non avere un record CAA 

Trascurare l’implementazione di un record DNS CAA (Certificate Authority Authorization) può esporre il tuo dominio a numerosi rischi per la sicurezza e la conformità, essenziali per proteggere le tue risorse digitali: 

 

Emissione di certificati non autorizzata: senza un record CAA, qualsiasi autorità di certificazione (CA) attendibile è autorizzata a emettere un certificato per il tuo dominio. Questa capacità illimitata aumenta il rischio che vengano rilasciati certificati non autorizzati o dannosi, che possono essere sfruttati per attacchi di phishing o attacchi man-in-the-middle, compromettendo significativamente l’integrità delle tue comunicazioni. 

Vulnerabilità di sicurezza:  la mancanza di un record CAA rende il tuo dominio vulnerabile a vulnerabilità di sicurezza nei processi di convalida o emissione di una CA. Se una CA riscontra vulnerabilità, il tuo dominio potrebbe essere maggiormente esposto a potenziali rischi di emissione errata, ponendolo in una posizione di maggiore svantaggio nel panorama della sicurezza. 

Mancanza di controllo sull’emissione dei certificati:  non avere un record CAA significa rinunciare al controllo sulle CA autorizzate a emettere certificati per il tuo dominio. Questa limitazione limita la tua capacità di applicare specifiche policy o preferenze di sicurezza, esponendo il tuo dominio a CA meno affidabili che potrebbero non soddisfare i tuoi standard di sicurezza. 

  1. Rischi di conformità: in ambienti in cui la conformità normativa è fondamentale, l’assenza di un record CAA può essere percepita come una grave lacuna nelle pratiche di sicurezza. Questa negligenza può compromettere l’aderenza agli standard che enfatizzano le misure di sicurezza del dominio, con conseguenti potenziali sanzioni per inadempienza o danni alla reputazione aziendale. 
  2. Rischi di compromissione del DNS:  se il DNS viene compromesso, un aggressore potrebbe potenzialmente rimuovere le misure di sicurezza esistenti, inclusi i record CAA. Questa situazione potrebbe consentire a CA non autorizzate di emettere certificati per il dominio, aumentando significativamente il rischio di attività dannose. 

In sintesi, sebbene l’assenza di un record CAA possa non comportare violazioni immediate della sicurezza, aumenta chiaramente il rischio di emissione non autorizzata di certificati e riduce il controllo sui protocolli di sicurezza del dominio. I proprietari di domini dovrebbero implementare proattivamente i record CAA come componente essenziale di una strategia di sicurezza completa. 

 

Riepilogo 

Il controllo del record di risorse DNS CAA (Certificate Authority Authorization) non è solo un meccanismo tecnico; è una salvaguardia fondamentale nel panorama della sicurezza digitale per diverse ragioni importanti, tra cui la prevenzione dell’emissione non autorizzata di certificati, la gestione delle vulnerabilità di sicurezza, il controllo sulle emissioni di certificati, la mitigazione dei rischi di conformità e la gestione dei rischi di compromissione del DNS. Le autorità di certificazione (CA) come DigiCert verificheranno il record DNS CAA per determinare se è configurato correttamente e se sono autorizzate a emettere certificati S/MIME. Gli utenti sono invitati a verificare che i propri record DNS CAA siano configurati correttamente. 

 

Per maggiori informazioni, contatta KeyTalk: saremo lieti di spiegarti come la nostra piattaforma può aiutarti.