Ce este DNS CAA și cum se validează și se implementează?

de
Tweet
Share
Share
Pin

Valorificați Înregistrarea DNS CAA pentru Securitatea Certificatelor TLS

Utilizați înregistrarea DNS CAA pentru a controla autoritățile de certificare (CA) care pot emite certificate TLS pentru domeniul dumneavoastră.

Ce este DNS CAA?

În esență, o înregistrare CAA este un tip specific de înregistrare DNS. Rolul ei este de a specifica ce autorități de certificare (CA) au permisiunea de a genera certificate pentru un anumit domeniu. Prin urmare, oferiți lumii informații despre cine este autorizat să emită certificate SSL/TLS pentru domeniul dumneavoastră. Această facilitate, devenită obligatorie la finele anului 2017, este încă relativ nouă, fiind implementată de mai puțin de 5% dintre site-urile web populare.

De exemplu, să luăm în considerare domeniul „gf.dev” deținut de tipstrick.ro. Acesta poate avea o configurație CAA similară cu cea de mai jos:

gf.dev.			3586	IN	CAA	0 issue "digicert.com; cansignhttpexchanges=yes"
gf.dev.			3586	IN	CAA	0 issuewild "comodoca.com"
gf.dev.			3586	IN	CAA	0 issue "comodoca.com"
gf.dev.			3586	IN	CAA	0 issuewild "digicert.com; cansignhttpexchanges=yes"
gf.dev.			3586	IN	CAA	0 issuewild "letsencrypt.org"
gf.dev.			3586	IN	CAA	0 issue "letsencrypt.org"

Din aceste informații, reiese că certificatele pentru gf.dev pot fi emise numai de DigiCert, Comodo și Let’s Encrypt. Dacă o altă autoritate, cum ar fi Thawte, ar încerca să emită un certificat, solicitarea ar fi respinsă. Observați, de asemenea, că există înregistrări distincte pentru „issue” și „issuewild”, cu roluri specifice:

  • issue – permite CA să emită certificate doar pentru domeniul specificat.
  • issuewild – autorizează CA să emită certificate wildcard, valabile pentru un domeniu și toate subdomeniile sale.

Înregistrarea CAA include și suport pentru iodef (Incident Object Description Exchange Format), care permite CA să trimită notificări de încălcări către adresele de email sau contactele specificate.

Ce se întâmplă când lipsește o înregistrare CAA?

Când un domeniu nu are o înregistrare CAA configurată, orice entitate poate genera o cerere de semnare a certificatului (CSR) pentru acel domeniu și obține un certificat de la orice autoritate de certificare. Această lipsă de control reprezintă un risc major de securitate.

Acum este mai clar, nu-i așa?

În textul anterior, am folosit câteva abrevieri. Iată explicațiile lor:

  • DNS – Domain Name System (Sistemul de nume de domenii)
  • CA – Certificate Authority (Autoritate de certificare)
  • CAA – Certification Authority Authorization (Autorizarea autorității de certificare)
  • TLS – Transport Layer Security (Securitatea stratului de transport)
  • SSL – Secure Socket Layer (Stratul de soclu securizat)

Cum verificăm o înregistrare DNS CAA?

Puteți valida o înregistrare CAA folosind mai multe metode. Dacă preferați linia de comandă, comanda dig este utilă:

dig caa $NUMELEDOMENIULUI.COM

Exemplu pentru tipstrick.ro.com:

[email protected]:~# dig caa tipstrick.ro.com

; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> caa tipstrick.ro.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54430
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;tipstrick.ro.com.			IN	CAA

;; ANSWER SECTION:
tipstrick.ro.com.		3600	IN	CAA	0 issuewild "comodoca.com"
tipstrick.ro.com.		3600	IN	CAA	0 issuewild "letsencrypt.org"
tipstrick.ro.com.		3600	IN	CAA	0 issue "comodoca.com"
tipstrick.ro.com.		3600	IN	CAA	0 issue "digicert.com; cansignhttpexchanges=yes"
tipstrick.ro.com.		3600	IN	CAA	0 issue "letsencrypt.org"
tipstrick.ro.com.		3600	IN	CAA	0 issuewild "digicert.com; cansignhttpexchanges=yes"

;; Query time: 7 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Tue Oct 08 07:12:21 UTC 2019
;; MSG SIZE  rcvd: 298

[email protected]:~#

Alternativ, puteți utiliza Tester DNS CAA, un instrument online pentru verificarea de la distanță.

Cum adăugăm o înregistrare CAA?

Procedura de adăugare a unei înregistrări CAA este similară cu cea pentru celelalte tipuri de înregistrări DNS (A, NS, CNAME etc.).

Dacă utilizați Cloudflare, accesați secțiunea DNS, selectați „Adaugă înregistrare” și alegeți CAA ca tip.

Pentru GoDaddy, mergeți la secțiunea de gestionare DNS și adăugați înregistrarea în mod corespunzător.

În cazul în care întâmpinați dificultăți, contactați furnizorul dumneavoastră de DNS sau hosting pentru asistență.

Concluzie

Dacă nu ați făcut-o deja, vă recomandăm insistent să adoptați înregistrările CAA pentru a spori securitatea domeniului dumneavoastră. Adăugarea unei înregistrări CAA nu implică niciun cost suplimentar.

V-a plăcut articolul? Împărtășiți-l cu alții!