chiark / gitweb /
*.lisp: Add CAA records to discourage wrong CAs from issuing.
authorMark Wooding <mdw@distorted.org.uk>
Wed, 20 Sep 2017 21:46:08 +0000 (22:46 +0100)
committerMark Wooding <mdw@distorted.org.uk>
Wed, 20 Sep 2017 22:00:36 +0000 (23:00 +0100)
CAs are generally uselsss and can't be relied on to take any notice, but
it's better than nothing.

Add a record for our own CA for form's sake, even though I don't take
any notice.

binswood.lisp
distorted.lisp
escorted.lisp
odin.lisp

index 957273c..322929d 100644 (file)
@@ -21,6 +21,10 @@ (defzone binswood.org.uk
        (mythic-beasts-2.ns :ip mythic-ns2)
        (mythic-beasts-3.ns :ip mythic-ns3))
 
+  ;; Certification.
+  :caa ((:issue "letsencrypt.org")
+       (:issue "distorted.org.uk"))
+
   ;; Internal hosts.
   (binswrt :a binswrt.binswood)
   (mango :a mango.binswood)
index d71124a..e17768b 100644 (file)
@@ -77,6 +77,10 @@ (defzone distorted.org.uk
        #-view/inside (mythic-beasts-3.ns :ip mythic-ns3)
        #-view/inside (chiark.ns :ip chiark.greenend.org.uk))
 
+  ;; Certification.
+  :caa ((:issue "letsencrypt.org")
+       (:issue "distorted.org.uk"))
+
   ;; Mail servers.
   ((@ mail blackhole) :mx mail :srv ((:smtp mail)))
   ((bugs) :ttl 300 :mx lists :srv ((:smtp bugs)))
index ab5c5b3..e2f542d 100644 (file)
@@ -20,6 +20,10 @@ (defzone escorted.org.uk
   ;; Web service.
   ((@ www) :svc stratocaster)
 
+  ;; Certification.
+  :caa ((:issue "letsencrypt.org")
+       (:issue "distorted.org.uk"))
+
   ;; Mail servers
   :mx ((mail :ip stratocaster))
   :srv ((:smtp mail))
index 3ef3a87..f17fc24 100644 (file)
--- a/odin.lisp
+++ b/odin.lisp
@@ -19,6 +19,10 @@ (defzone odin.gg
           :tlsa (:https (:service-certificate-constraint
                          :public-key :sha-256 #p"https-stratocaster")))
 
+  ;; Certification.
+  :caa ((:issue "letsencrypt.org")
+       (:issue "distorted.org.uk"))
+
   ;; Mail servers
   :mx ((mail :ip stratocaster))
   :srv ((:smtp mail))