Profitați de înregistrarea DNS CAA pentru a autoriza CA să emită certificatele TLS.
Cuprins
Ce este DNS CAA?
CAA este unul dintre tipurile de înregistrări DNS care indică CA dacă ar trebui să emită un certificat sau nu. Cu un alt cuvânt, anunțați lumea cine ar trebui să vă emită domeniul Certificat SSL/TLS. Implementarea CAA a devenit obligatorie la sfârșitul anului 2017, deci este relativ nouă și mai puțin de 5% dintre site-urile populare au implementat acest lucru.
Să luăm un exemplu – tipstrick.ro deține un site numit „gf.dev”, care are următoarea înregistrare CAA.
gf.dev. 3586 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "comodoca.com" gf.dev. 3586 IN CAA 0 issue "comodoca.com" gf.dev. 3586 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "letsencrypt.org" gf.dev. 3586 IN CAA 0 issue "letsencrypt.org"
Privind rezultatele de mai sus, pot obține certificatul emis numai de la DigiCert, Comodo și Let’s Encrypt. Dacă îi cer lui Thawte sau alt CA să emită un certificat pentru gf.dev, atunci nu vor putea. De asemenea, dacă acordați atenție, veți observa că unele intrări au probleme și unele probleme sălbatice. Să aflăm care sunt.
- issue – instruiți CA să emită certificatul numai pentru acel domeniu.
- issuewild – CA poate emite certificatul wildcard astfel încât să poată fi utilizat într-un domeniu sau subdomeniu.
Înregistrarea CAA acceptă, de asemenea, iodef (formatul de schimb de descriere a obiectelor de incident), care permite CA să trimită raportul de încălcare către e-mailul specificat sau detaliile de contact.
Ce se întâmplă când nu s-a găsit nicio înregistrare CAA?
Dacă un domeniu nu are o înregistrare CAA, atunci oricine poate genera un CSR pentru acel domeniu și poate obține certificatul semnat de orice CA. Acesta este un risc de securitate.
Este clar acum?
Sunt câteva abrevieri pe care le-am folosit mai sus. Să vedem care sunt acestea.
- DNS – Sistem de nume de domeniu
- CA – Autoritate de certificare
- CAA – Autorizarea autorității de certificare
- TLS – Securitatea stratului de transport
- SSL – Secure Socket Layer
Cum se verifică înregistrarea DNS CAA?
Există mai multe moduri de a valida înregistrarea CAA. Dacă nu doriți să părăsiți terminalul, atunci puteți verifica folosind comanda dig.
dig caa $YOURWEBSITE.COM
Exemplu de tipstrick.ro.com
[email protected]:~# dig caa tipstrick.ro.com ; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> caa tipstrick.ro.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54430 ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 65494 ;; QUESTION SECTION: ;tipstrick.ro.com. IN CAA ;; ANSWER SECTION: tipstrick.ro.com. 3600 IN CAA 0 issuewild "comodoca.com" tipstrick.ro.com. 3600 IN CAA 0 issuewild "letsencrypt.org" tipstrick.ro.com. 3600 IN CAA 0 issue "comodoca.com" tipstrick.ro.com. 3600 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" tipstrick.ro.com. 3600 IN CAA 0 issue "letsencrypt.org" tipstrick.ro.com. 3600 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" ;; Query time: 7 msec ;; SERVER: 127.0.0.53#53(127.0.0.53) ;; WHEN: Tue Oct 08 07:12:21 UTC 2019 ;; MSG SIZE rcvd: 298 [email protected]:~#
Dacă doriți să testați acest lucru de la distanță, atunci puteți utiliza Tester DNS CAA instrument online.
Cum se adaugă o înregistrare CAA?
Din punct de vedere tehnic, acesta este același mod în care adăugați alte înregistrări DNS precum A, NS, CNAME etc.
Dacă utilizați Cloudflare, accesați fila DNS >> adăugați o înregistrare și selectați CAA ca tip.
Pentru GoDaddy, accesați DNS Management și adăugați o înregistrare
Dacă nu sunteți sigur cum să adăugați atunci, puteți contacta furnizorul DNS/hosting pentru ajutor.
Concluzie
Dacă nu este deja, ar trebui să profitați de înregistrarea CAA pentru a adăuga un nivel de securitate a domeniului. Adăugarea unei înregistrări CAA nu vă costă.
Ți-a plăcut să citești articolul? Ce zici de împărtășirea cu lumea?