Воспользуйтесь записями DNS CAA, чтобы авторизовать CA для выпуска сертификатов TLS.
Содержание
Что такое DNS CAA?
CAA — это один из типов записей DNS, который сообщает CA, следует ли выдавать сертификат. Другими словами, вы сообщаете миру, кто должен выдавать SSL/TLS-сертификат вашего домена. Внедрение CAA стало обязательным в конце 2017 года, поэтому оно является относительно новым, и его внедрили менее 5% популярных сайтов.
Возьмем пример — vdzvdz владеет сайтом под названием «gf.dev», который имеет следующую запись CAA.
gf.dev. 3586 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "comodoca.com" gf.dev. 3586 IN CAA 0 issue "comodoca.com" gf.dev. 3586 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "letsencrypt.org" gf.dev. 3586 IN CAA 0 issue "letsencrypt.org"
Глядя на приведенные выше результаты, я могу получить только сертификат, выданный DigiCert, Comodo и Let’s encrypt. Если я попрошу Thavte или другой ЦС выдать сертификат для gf.dev, они не смогут этого сделать. Также, если вы обратите внимание, вы заметите, что у некоторых записей есть проблемы, а у некоторых проблемы. Давайте узнаем, что они из себя представляют.
- проблема — указание ЦС выдать сертификат только для этого домена.
- issuevild — сертификат подстановки может быть выдан центром сертификации, чтобы его можно было использовать в домене или поддомене.
Запись CAA также поддерживает iodef (формат обмена описанием объекта инцидента), который позволяет CA отправлять отчет о нарушении на указанный адрес электронной почты или контактные данные.
Что происходит, когда запись CAA не найдена?
Если у домена нет записи CAA, то любой может сгенерировать CSR для этого домена и получить сертификат, подписанный любым CA. Это угроза безопасности.
Так понятно?
Есть несколько сокращений, которые я использовал выше. Давайте проверим, что они из себя представляют.
- DNS — система доменных имен
- ЦС — центр сертификации
- CAA — авторизация центра сертификации
- TLS — безопасность транспортного уровня
- SSL — уровень защищенных сокетов
Как проверить запись DNS CAA?
Существует несколько способов проверить запись CAA. Если вы не хотите покидать свой терминал, вы можете проверить это с помощью команды dig.
dig caa $YOURWEBSITE.COM
Пример vdzvdz.com
[email protected]:~# dig caa techblog.co.rs.com ; > DiG 9.11.3-1ubuntu1.8-Ubuntu > caa techblog.co.rs.com ;; global options: +cmd ;; Got answer: ;; ->>HEADERАко желите да тестирате ово на даљину, можете га користити ДНС ЦАА тестер онлајн алат.
Како додати ЦАА запис?
Технички, ово је исти начин на који додајете друге ДНС записе као што су А, НС, ЦНАМЕ, итд.
Ако користите Цлоудфларе, идите на картицу ДНС >> додајте запис и изаберите ЦАА као тип.
За ГоДадди, идите на ДНС Манагемент и додајте запис
Ако нисте сигурни како да додате, можете контактирати свог ДНС/хостинг провајдера за помоћ.
Закључак
Ако већ нисте, требало би да искористите ЦАА запис да додате слој безбедности домена. Додавање ЦАА записа вас не кошта.
Да ли сте уживали у читању чланка? Шта кажете на дељење са светом?
