Cosa significa il tag issue?

Il tag issue autorizza un'autorità di certificazione a emettere certificati standard (non-wildcard) per il dominio. Esempio: issue "letsencrypt.org".

Qual è la differenza tra issue e issuewild?

issue autorizza certificati standard, issuewild autorizza certificati wildcard (*.dominio.com). Puoi autorizzare CA diverse per ogni tipo.

A cosa serve il tag iodef?

iodef indica dove inviare i report di tentativi di emissione non autorizzati. Formato: iodef "mailto:security@dominio.com" o un URL HTTPS.

Come vieto ogni emissione di certificati?

Pubblica un record CAA con issue ";" (solo punto e virgola). Questo vieta a tutte le CA di emettere certificati.

Il CAA si eredita sui sottodomini?

Sì, senza un CAA specifico su un sottodominio, si applica la regola dell'apice. Puoi definire eccezioni per sottodominio se necessario.

Ricerca record CAA (Certificate Authority Authorization)

Controlla quali autorità possono emettere certificati SSL/TLS

Proteggi i tuoi certificati SSL/TLS verificando che solo le autorità autorizzate possano emetterli per il tuo dominio.

Host

Tipo

Resolver

Traccia iterativa

In modalità traccia iterativa, il resolver viene ignorato.

Test di propagazione

Interroga più resolver pubblici per confrontare le risposte.

Policy di certificazione

Scopri quali autorità di certificazione (Let's Encrypt, DigiCert, ecc.) sono autorizzate a emettere certificati per il dominio.

Multi-resolver

Confronta le risposte di Google, Cloudflare e Quad9 per rilevare problemi di propagazione.

Tag issue e issuewild

Analizza le autorizzazioni per certificati standard e wildcard separatamente.

Alert iodef

Verifica se è configurato un indirizzo di notifica per tentativi di emissione non autorizzati.

Gratuito e illimitato

Testa quanti domini vuoi. Nessuna registrazione richiesta.

Come utilizzare al meglio le opzioni del motore di lookup DNS

Cos'è la traccia iterativa?

La traccia esegue la risoluzione passo dopo passo. Il resolver interroga prima i server root, poi il TLD (.com, .fr, .eu) e infine i server autoritativi della zona di destinazione. A ogni fase la pagina mostra il server interrogato, la risposta, l'RCODE e la latenza.

1. Root
Scoperta dei server TLD per il nome richiesto.
2. TLD
Riferimento agli NS della zona (delegazione).
3. Authoritative
Risposta finale (o errore) con TTL e latenza.

A cosa serve?

Confrontare le risposte tra resolver e regioni
Individuare cache calde, TTL troppo lunghi o deleghe incomplete
Spiegare una differenza di latenza o un RCODE inatteso

Suggerimento: lascia la traccia disattivata per i controlli rapidi; attivala durante un'indagine o per preparare ticket e post-mortem.

Cos'è la traccia classica?

La traccia classica interroga solo il resolver selezionato (UDP o DoH) e mostra la risposta così come viene percepita da quel punto di rete. Ottieni l'RCODE, le sezioni di risposta e la latenza per il tratto client → resolver.

1. Resolver scelto
Utilizza il preset o la configurazione personalizzata per eseguire la query esattamente come farebbe il tuo servizio.
2. Protocollo preservato
Rispetta il trasporto selezionato (UDP, TCP o DoH) così da riprodurre il comportamento reale.
3. Risposta dettagliata
Mostra domanda, risposta e sezioni authority/additional quando presenti, insieme a TTL e metadati utili.

Perché usarla?

Verificare la vista di un resolver specifico prima di sospettare problemi di delega
Confermare valori in cache e l'impatto di TTL o flush
Documentare una risoluzione esattamente come la vede un client o un microservizio

Suggerimento: tieni disattivata la traccia iterativa quando esegui l'audit di un resolver; riattivala dopo per confrontarla con il percorso root → TLD → authoritative.

Come funziona il test di propagazione?

Il test interroga in parallelo un insieme di resolver pubblici (Google, Cloudflare, Quad9, OpenDNS, ISP…) e raggruppa le risposte per contenuto e RCODE. Vedi subito chi ha già recepito l'aggiornamento.

1. Resolver multi-punto
Abilita i preset di propagazione per interrogare diversi attori distribuiti nel mondo.
2. Confronto automatico
Raggruppa le risposte identiche e mette in evidenza divergenze o errori specifici di un resolver.
3. Riepilogo operativo
Fornisce un riepilogo chiaro, l'elenco dei resolver, le loro latenze e lo stato di ciascun gruppo.

Quando usarlo?

Monitorare la propagazione mondiale di una modifica DNS
Individuare cache obsolete e decidere un flush mirato
Condividere uno snapshot di propagazione in un ticket o post-mortem

Suggerimento: mentre il test di propagazione è attivo, il selettore del resolver resta bloccato. Disattiva la modalità per tornare alla diagnostica su singolo resolver.

Cos'è un record CAA?

Un record CAA (Certificate Authority Authorization) definisce quali autorità di certificazione (CA) sono autorizzate a emettere certificati SSL/TLS per un dominio. È una misura di sicurezza che previene l'emissione non autorizzata di certificati.

Struttura di un record CAA:

Campo	Descrizione	Esempio
Flag	0 (standard) o 128 (critico)	`0`
Tag	Tipo di autorizzazione	`issue`, `issuewild`, `iodef`
Valore	CA autorizzata o indirizzo di contatto	`"letsencrypt.org"`
TTL	Durata cache in secondi	`3600`

Tag CAA disponibili

issue - Certificati standard

Autorizza una CA per certificati non-wildcard:

captaindns.com.  3600  IN  CAA  0 issue "letsencrypt.org"
captaindns.com.  3600  IN  CAA  0 issue "digicert.com"

issuewild - Certificati wildcard

Autorizza una CA per certificati wildcard (*.dominio):

captaindns.com.  3600  IN  CAA  0 issuewild "letsencrypt.org"

iodef - Notifiche

Indirizzo per ricevere report di tentativi non autorizzati:

captaindns.com.  3600  IN  CAA  0 iodef "mailto:security@captaindns.com"

Vietare ogni emissione

Bloccare tutte le CA:

captaindns.com.  3600  IN  CAA  0 issue ";"

Regole importanti

Ereditarietà e sottodomini

Situazione	Comportamento
CAA all'apice	Si applica a tutti i sottodomini
CAA su sottodominio	Sovrascrive la regola dell'apice per quel sottodominio
Nessun CAA	Nessuna restrizione, qualsiasi CA può emettere

Best practice

Pratica	Perché
Limitare le CA	Ridurre la superficie di attacco
Configurare iodef	Essere avvisati dei tentativi
Testare prima della produzione	Evitare blocchi

Problemi comuni

Certificato rifiutato dalla CA

La CA rifiuta di emettere perché non è nel CAA.

Verifica i record CAA del dominio
Aggiungi la CA se legittima
Attendi la propagazione

Wildcard bloccato

Certificato wildcard rifiutato nonostante un tag issue.

issuewild è richiesto per i wildcard
Aggiungi un record issuewild
issue da solo non copre *.dominio

Sottodominio non coperto

Un sottodominio ha regole diverse.

Verifica il CAA specifico del sottodominio
L'ereditarietà può essere sovrascritta
Aggiungi il CAA a livello di sottodominio se necessario

Verifica da riga di comando

Linux/Mac

dig CAA captaindns.com

Verificare un sottodominio:

dig CAA www.captaindns.com

Windows

nslookup -type=caa captaindns.com

Configurazione raccomandata

Esempio completo

; Autorizzare Let's Encrypt per tutti i certificati
captaindns.com.  3600  IN  CAA  0 issue "letsencrypt.org"
captaindns.com.  3600  IN  CAA  0 issuewild "letsencrypt.org"

; Notifiche di sicurezza
captaindns.com.  3600  IN  CAA  0 iodef "mailto:security@captaindns.com"

Strumenti complementari

Strumento	Utilità
Ricerca TXT	Verificare altre policy di sicurezza
Propagazione DNS	Verificare la propagazione mondiale