Verificação de Recurso DNS CAA S/MIME 2025 Necessária
Home / Media / News / Verificação de Recurso DNS CAA S/MIME 2025 Necessária

Verificação de Recurso DNS CAA S/MIME 2025 Necessária
19 Mar ‘25

Atualização: Verificação de Recurso DNS CAA necessária em 2025

Certificadoras (CAs) como a DigiCert começarão a verificar os registros de recurso CAA antes de emitir um certificado de Email Seguro (S/MIME) com um endereço de caixa de correio. Este é o anúncio oficial deles:

“A partir de 13 de março de 2025, às 10:00 MDT (16:00 UTC), a DigiCert verificará, processará e respeitará os registros de recurso de Autorização da Autoridade de Certificação (CAA) do DNS dos seus domínios de email antes de emitir seus certificados de Email Seguro (S/MIME).”

Desde 2017, essa verificação já era obrigatória para SSL/TLS, mas agora, a partir de 13 de março de 2025, essa verificação também será realizada para os certificados S/MIME.

Verifique se você configurou seus registros DNS CAA para que sua CA possa emitir certificados S/MIME.

Registros DNS e certificados

No seu núcleo, o DNS, ou Sistema de Nomes de Domínio, atua como a espinha dorsal da internet. Ele fornece uma estrutura hierárquica contínua que transforma nomes de domínio amigáveis para humanos em endereços IP numéricos. Esse processo de tradução crítico capacita os usuários a navegar na web de forma simples, permitindo que acessem sites e serviços por meio de nomes memoráveis, em vez de uma confusa sequência de números.

A mágica do DNS reside em uma complexa rede de servidores que gerenciam diligentemente a resolução de nomes de domínio para seus endereços IP correspondentes. Quando um usuário digita um domínio em seu navegador, o DNS atua como um facilitador vital, direcionando-o para o site ou serviço correto e aprimorando sua jornada online. Essa funcionalidade não só simplifica a experiência do usuário, mas também promove uma conectividade ininterrupta através do vasto panorama da web.

Ter registros DNS precisos é fundamental para preservar uma presença online segura, confiável e acessível. Eles desempenham um papel crucial em garantir operações suaves de sites, entrega confiável de e-mails e conformidade com requisitos regulatórios, além de fortalecer as defesas contra potenciais ameaças de segurança. No mundo da conectividade digital, uma estrutura robusta de DNS é essencial para sustentar uma presença online ininterrupta.

O que é uma Verificação de Registro de Recurso CAA do DNS?

Uma verificação de registro de recurso CAA (Autorização de Autoridade de Certificação) do DNS é um processo vital que permite que Certificadoras (CAs) confirmem se possuem autorização para emitir certificados SSL/TLS ou S/MIME para um domínio específico. Essa etapa de verificação envolve a consulta ao DNS do domínio para registros CAA, que delineiam explicitamente quais CAs estão autorizadas a emitir certificados para aquele domínio em particular.

Ao utilizar registros CAA do DNS, os proprietários de domínios podem melhorar sua postura de segurança. Esse mecanismo impede que CAs não autorizadas emitam certificados, garantindo que apenas entidades aprovadas tenham a capacidade de validar e proteger o domínio. Dessa forma, os registros CAA atuam como um guardião essencial, fortalecendo a integridade dos certificados digitais e promovendo a confiança nas comunicações online. Em uma era em que as violações de segurança são cada vez mais prevalentes, implementar uma verificação completa de CAA do DNS é uma medida proativa que todo proprietário de domínio deve adotar.

 

Verificação de Recurso CAA do DNS em 2025

Certificadoras (CAs) como a DigiCert começarão a verificar os registros de recurso CAA antes de emitir um certificado de Email Seguro (S/MIME) com um endereço de caixa de correio. Este é o anúncio oficial deles:

“A partir de 13 de março de 2025, às 10:00 MDT (16:00 UTC), a DigiCert verificará, processará e cumprirá os registros de recursos de Autorização da Autoridade de Certificação (CAA) dos seus domínios de email antes de emitir seus certificados de Email Seguro (S/MIME).”

 

Desde 2017, essa verificação já era obrigatória para SSL/TLS, mas agora, a partir de 13 de março de 2025, essa verificação também será realizada para os certificados S/MIME.

 

Como verificar as configurações do seu DNS e registros CAA?

Os registros CAA são configurados nas configurações do servidor DNS do seu provedor de serviços de internet (ISP), o que pode exigir várias etapas para acessar. Um método mais eficiente para verificar esses registros é usar uma ferramenta de terceiros que recupera informações de DNS globalmente. Uma dessas ferramentas é o DNS Checker. Você pode solicitar suas informações de DNS aqui:

https://dnschecker.org/all-dns-records-of-domain.php

 

 

Como funciona a verificação de registro de recurso CAA do DNS?

Antes que um certificado TLS/SSL ou um certificado de Email Seguro (S/MIME) seja emitido, a Autoridade de Certificação (CA), como a DigiCert, realiza uma verificação dos registros CAA do domínio ou do domínio da caixa de correio. Essa verificação garante que a CA está autorizada a emitir o certificado solicitado, reforçando a confiança e a segurança das comunicações digitais.

 

Como a Verificação Funciona

  1. Presença do Registro CAA: Antes de emitir um certificado, a CA verifica se existem registros CAA para o domínio. Se nenhum registro CAA for encontrado, a CA pode emitir o certificado, pois não está restrita por nenhuma autorização específica.
  2. Verificação de Autorização: Se os registros CAA estiverem presentes, a CA verifica se ela está listada como um emissor autorizado nos registros. Se estiver, pode prosseguir com a emissão do certificado. Caso contrário, não poderá emitir o certificado.
  3. Tratamento de CNAME: Se o domínio tiver um registro CNAME que aponta para outro domínio, a CA segue até oito níveis de alvos CNAME para encontrar um registro CAA. A busca é interrompida assim que um registro CAA é encontrado, e sua política é aplicada.

 

Uma CA pode emitir o certificado TLS ou S/MIME se uma das seguintes condições for verdadeira:

  • Ela não encontrar um registro CAA para seu domínio.
  • Ela encontrar um registro CAA para seu domínio autorizando-a a emitir aquele certificado.
    • Exemplo para certificado S/MIME: yourdomain CAA 0 issuemail "digicert.com"
  • Ela encontra apenas registros CAA para seu domínio sem as tags de propriedade “issue”, “issuewild” ou “issuemail”.

 

Um registro de recurso CAA NÃO é obrigatório

Um registro CAA NÃO É OBRIGATÓRIO para que a DigiCert emita um certificado TLS/SSL ou um certificado de Email Seguro (S/MIME). As informações fornecidas abaixo se aplicam apenas se você estiver em uma das seguintes situações:

  • Possui registros CAA configurados para seus domínios TLS e domínios de caixa de correio.
  • Planeja adicionar registros de recurso CAA para seus domínios TLS e domínios de caixa de correio.

 

 

Formato de um Registro CAA

O formato de um registro CAA é estruturado para incluir vários componentes-chave que especificam quais Autoridades de Certificação (CAs) estão autorizadas a emitir certificados para um domínio. Aqui está o formato típico:

“name CAA <flags> <tag> value” 

 

Exemplo de um Registro CAA

Aqui está um exemplo de um registro CAA que autoriza o Let’s Encrypt a emitir certificados padrões para um domínio:

dominio.com CAA 0 issue "globalsign.com"

Aqui está uma análise dos campos e tags:

Campos em um Registro CAA

  • Nome
    • Descrição: O nome do domínio.

 

  • Flag
    • Descrição: Este campo indica se a propriedade é crítica ou não crítica. Atualmente, apenas dois valores são suportados: 0 (não crítica) e 128 (crítica).
    • Uso: A flag crítica (128) é usada com tags personalizadas para garantir que uma CA deve entender a propriedade antes de prosseguir. No entanto, para tags padrão como issueissuewild e iodef, uma flag de 0 é suficiente.

 

  • Tag
    • Descrição: Isso especifica o tipo de propriedade que está sendo definida. As tags comuns incluem:
      • issue: Autoriza uma CA a emitir certificados SSL padrão (não wildcard). 
        example.com CAA 0 issue "digicert.com"
      • issuewild: Autoriza uma CA a emitir certificados SSL wildcard. 
        example.com CAA 0 issuewild "digicert.com"
      • iodef: Especifica um endereço de email ou URL para relatar tentativas de emissão de certificados com falha. 
        example.com CAA 0 iodef "mailto:example@example.com"
      • issuevmc: Esta propriedade é específica para certificados VMC. 
        example.com CAA 0 issuevmc "digicert.com"
      • issuemail: Esta propriedade é específica para certificados S/MIME. 
        mail.example.com CAA 0 issuemail "digicert.com"
    • Uso: Essas tags determinam o tipo de emissão de certificado permitida pela CA especificada.

 

  • Valor
    • Descrição: Este campo contém o valor associado à tag. Para issue e issuewild, especifica o nome do domínio da CA autorizada (ex.: “letsencrypt.org”). Para iodef, fornece um endereço de email ou URL para notificações.
    • Uso: O valor é crucial para identificar qual CA está autorizada ou para onde as notificações devem ser enviadas.

 

Como configurar um registro CAA para o seu domínio

Estabelecer um registro CAA (Autorização de Autoridade de Certificação) para o seu domínio é um passo crucial na proteção da sua identidade digital. Este processo envolve a seleção de Autoridades de Certificação (CAs) específicas que estão autorizadas a emitir certificados SSL em seu nome.

Aqui está um guia simples para ajudá-lo a configurar seu registro CAA:

Passos para Configurar um Registro CAA

  1. Acesse suas Configurações de DNS:
    • Faça login no painel de controle do seu registrador de domínio ou provedor de DNS. Isso pode ser serviços como Hostinger, Namecheap ou Cloudflare.
  2. Navegue até a Gestão de DNS:
    • Localize a seção de gerenciamento de DNS. Você pode encontrá-la rotulada como “Configurações de DNS”, “Gerenciador de DNS” ou “Gerenciar DNS”.
  3. Adicione um Novo Registro DNS:
    • Clique em “Adicionar Novo Registro” ou “Criar Registro DNS”. Nas opções disponíveis, selecione “CAA” como o tipo de registro.
  4. Insira os Detalhes do Registro CAA:
    • Nome: Digite @ para o domínio raiz ou especifique um subdomínio, se necessário. O símbolo @ representa o domínio raiz e se aplicará a todos os subdomínios, a menos que um registro CAA específico de subdomínio o sobreponha.
    • Flag: Geralmente definido como 0, indicando que o registro não é crítico. Embora uma flag de 128 possa marcá-lo como crítico, essa configuração raramente é utilizada.
    • Tag: Escolha issue para certificados padrão, issuewild para certificados wildcard, issuevmc para certificados VMC, issuemail para S/MIME ou iodef para relatar tentativas de emissão de certificados com falha.
    • Valor: Insira o nome do domínio da CA autorizada (ex.: “digicert.com” ou “globalsign.com”).
    • TTL (Tempo de Vida): Defina o TTL para determinar quanto tempo o registro é armazenado em cache pelos resolvedores DNS. Configurações comuns são cerca de 3600 segundos (1 hora).
  5. Salve o Registro:
    • Depois de preencher todos os detalhes, certifique-se de salvar o registro CAA. Lembre-se de que pode levar algum tempo para que as alterações se propaguem pela internet.

Exemplo de Registro CAA

Para um domínio usando o Let’s Encrypt, o registro CAA pode ser assim:

  • Nome: @
  • Flag: 0
  • Tag: issue
  • Valor: “google.com”
  • TTL: 3600

Se precisar autorizar várias CAs, crie registros CAA separados para cada uma.

Notas Importantes

  • Verifique o Suporte do Provedor de DNS: Certifique-se de que seu provedor de DNS oferece suporte a registros CAA, pois nem todos os provedores disponibilizam essa funcionalidade. É fundamental verificar a compatibilidade para implementar os registros CAA efetivamente.
  • Escopo dos Registros CAA: Lembre-se de que os registros CAA se aplicam ao domínio raiz e seus subdomínios por padrão, a menos que um registro específico de subdomínio seja configurado para sobrepor essa configuração. Isso significa que um único registro CAA pode cobrir vários subdomínios, melhorando sua estrutura de segurança em todo o domínio.

Considerando esses fatores, você pode gerenciar mais eficazmente a postura de segurança do seu domínio e garantir que seus registros CAA estejam configurados corretamente, proporcionando a proteção necessária contra a emissão não autorizada de certificados.

 

 

Por que a Verificação de Registro de Recurso CAA do DNS é Necessária?

A verificação de registro de recurso CAA (Autorização de Autoridade de Certificação) do DNS vai além de um mero mecanismo técnico; ela serve como uma proteção crucial no âmbito da segurança digital por várias razões convincentes:

1. Aumento da Segurança:

A principal razão para implementar registros CAA é aumentar a segurança. Ao designar quais Autoridades de Certificação (CAs) estão autorizadas a emitir certificados para um domínio, os registros CAA efetivamente impedem que CAs não autorizadas ou maliciosas adquiram certificados. Essa medida é essencial para mitigar os riscos associados ao roubo de identidade e ataques de phishing, onde atacantes poderiam se aproveitar da emissão não regulada de certificados.

2. Controle Sobre a Emissão de Certificados:

Os registros CAA proporcionam aos proprietários de domínios um melhor controle sobre suas políticas de segurança. Ao permitir que eles especifiquem precisamente quais CAs podem emitir certificados, esses registros garantem que apenas entidades confiáveis possam supervisionar a identidade digital do domínio. Essa supervisão aumentada reduz significativamente o risco de emissão accidental ou fraudulentas de certificados.

3. Conformidade com Padrões da Indústria:

Desde setembro de 2017, é um requisito obrigatório para as CAs realizar uma verificação de registro CAA antes de emitir certificados. Essa conformidade aprimora a estrutura de segurança dentro da qual as CAs operam e demonstra o compromisso da indústria em manter as melhores práticas na gestão de certificados.

Em resumo, a verificação de registro de recurso CAA do DNS é um componente crucial para fortalecer a segurança e a integridade dos domínios online. Ao oferecer uma camada adicional de controle e conformidade, permite que os proprietários de domínios gerenciem efetivamente suas identidades digitais e mitigam os riscos associados à emissão não autorizada de certificados.

 

Riscos de Não Ter um Registro CAA

Negligenciar a implementação de um registro CAA (Autorização de Autoridade de Certificação) do DNS pode deixar seu domínio vulnerável a inúmeros riscos de segurança e conformidade, os quais são essenciais para proteger seus ativos digitais:

  1. Emissão Não Autorizada de Certificados: Sem um registro CAA, qualquer Autoridade de Certificação (CA) confiável pode emitir um certificado para seu domínio. Essa capacidade irrestrita aumenta o risco de certificados não autorizados ou maliciosos serem concedidos, que podem ser explorados para ataques de phishing ou cenários de homem-no-meio, comprometendo significativamente a integridade das suas comunicações.
  2. Vulnerabilidades de Segurança: A falta de um registro CAA torna seu domínio suscetível a fraquezas de segurança nos processos de validação ou emissão de uma CA. Se uma CA encontra vulnerabilidades, seu domínio pode ter uma exposição maior a riscos potenciais de emissão indevida, colocando-o em uma desvantagem maior no cenário de segurança.
  3. Falta de Controle Sobre a Emissão de Certificados: Não ter um registro CAA significa abrir mão do controle sobre quais CAs estão autorizadas a emitir certificados para seu domínio. Essa limitação restringe sua capacidade de impor políticas ou preferências de segurança específicas, expondo seu domínio a CAs menos reputáveis que podem não atender aos seus padrões de segurança.
  4. Riscos de Conformidade: Em ambientes onde a conformidade regulatória é crucial, a ausência de um registro CAA pode ser percebida como uma falha significativa nas práticas de segurança. Essa negligência pode afetar sua adesão a normas que enfatizam medidas de segurança de domínio, potencialmente resultando em penalidades de conformidade ou prejudicando sua reputação.
  5. Riscos de Comprometimento do DNS: Se seu DNS for comprometido, um atacante poderia potencialmente remover medidas de segurança existentes, incluindo registros CAA. Essa situação poderia permitir que CAs não autorizadas emitam certificados para seu domínio, aumentando significativamente o risco de atividades maliciosas.

 

Em resumo, embora a ausência de um registro CAA possa não levar a violações de segurança imediatas, ela claramente aumenta o risco de emissão não autorizada de certificados e diminui seu controle sobre os protocolos de segurança do domínio. Os proprietários de domínios devem implementar proativamente registros CAA como um componente vital de uma estratégia abrangente de segurança.

 

Resumo

A verificação de registro de recurso CAA (Autorização de Autoridade de Certificação) do DNS não é apenas um mecanismo técnico; é uma proteção vital no cenário de segurança digital por várias razões convincentes, incluindo a prevenção da emissão não autorizada de certificados, o tratamento de vulnerabilidades de segurança, a manutenção do controle sobre as emissões de certificados, a mitigação de riscos de conformidade e a gestão de riscos de comprometimento do DNS. Autoridades de Certificação (CAs), como a DigiCert, verificarão o registro CAA do DNS para determinar se está configurado corretamente e se estão autorizadas a emitir certificados S/MIME. Os usuários são encorajados a verificar se seus registros CAA do DNS estão configurados corretamente.

 

Para mais informações, contacte a KeyTalk e teremos todo o prazer em informar como a nossa plataforma o pode ajudar com isso.