Τι είναι το DNS CAA και πώς να επικυρωθεί και να εφαρμοστεί;

από
Tweet
Share
Share
Pin

Επωφεληθείτε από την εγγραφή DNS CAA για να εξουσιοδοτήσετε την CA να εκδώσει τα πιστοποιητικά TLS.

Τι είναι το DNS CAA;

Το CAA είναι ένας από τους τύπους εγγραφών DNS που καθοδηγούν την CA εάν πρέπει να εκδώσει πιστοποιητικό ή όχι. Με άλλα λόγια, ενημερώνετε τον κόσμο ποιος πρέπει να εκδώσει τον τομέα σας Πιστοποιητικό SSL/TLS. Η εφαρμογή CAA έγινε υποχρεωτική στα τέλη του 2017, επομένως είναι σχετικά νέα και λιγότερο από το 5% των δημοφιλών τοποθεσιών το έχουν εφαρμόσει.

Ας πάρουμε ένα παράδειγμα – η grtechpc.org έχει έναν ιστότοπο που ονομάζεται “gf.dev”, ο οποίος έχει την ακόλουθη εγγραφή CAA.

gf.dev.			3586	IN	CAA	0 issue "digicert.com; cansignhttpexchanges=yes"
gf.dev.			3586	IN	CAA	0 issuewild "comodoca.com"
gf.dev.			3586	IN	CAA	0 issue "comodoca.com"
gf.dev.			3586	IN	CAA	0 issuewild "digicert.com; cansignhttpexchanges=yes"
gf.dev.			3586	IN	CAA	0 issuewild "letsencrypt.org"
gf.dev.			3586	IN	CAA	0 issue "letsencrypt.org"

Βλέποντας τα παραπάνω αποτελέσματα, μπορώ να λάβω το πιστοποιητικό που εκδίδεται μόνο από τις DigiCert, Comodo και Let’s encrypt. Εάν ζητήσω από την Thawte ή άλλη ΑΠ να εκδώσει ένα πιστοποιητικό για το gf.dev, τότε δεν θα μπορούν. Επίσης, αν προσέξετε, θα παρατηρήσετε ότι κάποια καταχώρηση έχει θέμα και κάποια έχει θέμα wild. Ας μάθουμε ποια είναι αυτά.

  • έκδοση – δώστε εντολή στην ΑΠ να εκδώσει το πιστοποιητικό μόνο για αυτόν τον τομέα.
  • issuewild – Η CA μπορεί να εκδώσει το πιστοποιητικό μπαλαντέρ ώστε να μπορεί να χρησιμοποιηθεί σε έναν τομέα ή υποτομέα.
  Πώς να ξεκλειδώσετε το ξεκλείδωμα OEM στο Samsung Galaxy S8/S9/Note 8

Η εγγραφή CAA υποστηρίζει επίσης iodef (μορφή ανταλλαγής περιγραφής αντικειμένου περιστατικού) που επιτρέπει στην ΑΠ να στέλνει αναφορά παραβίασης στο καθορισμένο email ή στα στοιχεία επικοινωνίας.

Τι συμβαίνει όταν δεν βρέθηκε αρχείο CAA;

Εάν ένας τομέας δεν έχει εγγραφή CAA, τότε οποιοσδήποτε μπορεί να δημιουργήσει ένα CSR για αυτόν τον τομέα και να λάβει το πιστοποιητικό υπογεγραμμένο από οποιαδήποτε ΑΠ. Αυτό είναι ένας κίνδυνος για την ασφάλεια.

Είναι ξεκάθαρο τώρα;

Υπάρχουν μερικές συντομογραφίες που χρησιμοποίησα παραπάνω. Ας δούμε τι είναι.

  • DNS – Σύστημα ονομάτων τομέα
  • ΑΠ – Αρχή έκδοσης πιστοποιητικών
  • CAA – Εξουσιοδότηση αρχής πιστοποίησης
  • TLS – Ασφάλεια επιπέδου μεταφοράς
  • SSL – Ασφαλές επίπεδο υποδοχής
  Πώς να σταματήσετε τη διχόνοια να εμφανίζετε το παιχνίδι που παίζετε

Πώς να ελέγξετε την εγγραφή DNS CAA;

Υπάρχουν πολλοί τρόποι επικύρωσης της εγγραφής CAA. Εάν δεν θέλετε να φύγετε από το τερματικό σας, μπορείτε να ελέγξετε χρησιμοποιώντας την εντολή dig.

dig caa $YOURWEBSITE.COM

Παράδειγμα grtechpc.org.com

[email protected]:~# dig caa grtechpc.org.com

; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> caa grtechpc.org.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54430
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;grtechpc.org.com.			IN	CAA

;; ANSWER SECTION:
grtechpc.org.com.		3600	IN	CAA	0 issuewild "comodoca.com"
grtechpc.org.com.		3600	IN	CAA	0 issuewild "letsencrypt.org"
grtechpc.org.com.		3600	IN	CAA	0 issue "comodoca.com"
grtechpc.org.com.		3600	IN	CAA	0 issue "digicert.com; cansignhttpexchanges=yes"
grtechpc.org.com.		3600	IN	CAA	0 issue "letsencrypt.org"
grtechpc.org.com.		3600	IN	CAA	0 issuewild "digicert.com; cansignhttpexchanges=yes"

;; Query time: 7 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Tue Oct 08 07:12:21 UTC 2019
;; MSG SIZE  rcvd: 298

[email protected]:~#

Εάν θέλετε να το δοκιμάσετε από απόσταση, τότε μπορείτε να το χρησιμοποιήσετε DNS CAA Tester διαδικτυακό εργαλείο.

  Διαχειριστείτε τους κωδικούς πρόσβασής σας και απλοποιήστε την ασφάλεια με το Dashlane

Πώς να προσθέσετε μια εγγραφή CAA;

Τεχνικά, αυτός είναι ο ίδιος τρόπος με τον οποίο προσθέτετε άλλες εγγραφές DNS όπως A, NS, CNAME κ.λπ.

Εάν χρησιμοποιείτε το Cloudflare, μεταβείτε στην καρτέλα DNS >> προσθέστε μια εγγραφή και επιλέξτε CAA ως τύπο.

Για το GoDaddy, μεταβείτε στη Διαχείριση DNS και προσθέστε μια εγγραφή

Εάν δεν είστε βέβαιοι πώς να προσθέσετε, μπορείτε να επικοινωνήσετε με τον πάροχο DNS/φιλοξενίας για βοήθεια.

συμπέρασμα

Εάν όχι ήδη, θα πρέπει να επωφεληθείτε από την εγγραφή CAA για να προσθέσετε ένα επίπεδο ασφάλειας τομέα. Η προσθήκη μιας εγγραφής CAA δεν σας κοστίζει.

Σας άρεσε να διαβάζετε το άρθρο; Τι θα λέγατε να μοιράζεστε με τον κόσμο;