Használja ki a CAA DNS rekordot, hogy engedélyezze a CA-t a TLS-tanúsítványok kiadására.
Tartalomjegyzék
Mi az a DNS CAA?
A CAA az egyik olyan DNS-rekordtípus, amely utasítja a CA-t, hogy kiadjon-e tanúsítványt vagy sem. Más szóval, tudatja a világgal, hogy kinek kell kiadnia a domainjét SSL/TLS tanúsítvány. A CAA bevezetését 2017 végén tették kötelezővé, tehát viszonylag új, és a népszerű webhelyek kevesebb mint 5%-a vezette be ezt.
Vegyünk egy példát – a etoppc.com egy „gf.dev” nevű webhely tulajdonosa, amely a következő CAA-rekordot tartalmazza.
gf.dev. 3586 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "comodoca.com" gf.dev. 3586 IN CAA 0 issue "comodoca.com" gf.dev. 3586 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "letsencrypt.org" gf.dev. 3586 IN CAA 0 issue "letsencrypt.org"
A fenti eredményeket tekintve csak a DigiCert, a Comodo és a Let’s encrypt által kiállított tanúsítványt kaphatom meg. Ha megkérem a Thawte-ot vagy más CA-t, hogy adjon ki egy tanúsítványt a gf.dev számára, akkor nem fogják tudni. Továbbá, ha odafigyel, azt fogja észrevenni, hogy néhány bejegyzésnél probléma van, néhánynál pedig probléma vad. Nézzük meg, mik ezek.
- kiadás – utasítsa a CA-t, hogy csak az adott tartományhoz adja ki a tanúsítványt.
- issuewild – A CA kiadhatja a helyettesítő karakter tanúsítványt, hogy az egy tartományban vagy altartományban használható legyen.
A CAA-rekord támogatja az iodef-et (Incident Object Description Exchange Formátum), amely lehetővé teszi a CA számára, hogy szabálysértési jelentést küldjön a megadott e-mail-címre vagy elérhetőségre.
Mi történik, ha nem található CAA-rekord?
Ha egy tartomány nem rendelkezik CAA-rekorddal, akkor bárki létrehozhat CSR-t az adott tartományhoz, és aláírhatja a tanúsítványt bármely CA-tól. Ez biztonsági kockázatot jelent.
Most már világos?
Van néhány rövidítés, amit fentebb használtam. Nézzük meg, mik ezek.
- DNS – Domain név rendszer
- CA – Tanúsító hatóság
- CAA – Tanúsító hatóság felhatalmazása
- TLS – Szállítási réteg biztonsága
- SSL – Biztonságos socket réteg
Hogyan ellenőrizhető a DNS CAA rekord?
A CAA-rekord érvényesítésének többféle módja van. Ha nem akarja elhagyni a terminált, akkor a dig paranccsal ellenőrizheti.
dig caa $YOURWEBSITE.COM
Példa a etoppc.com.com webhelyre
[email protected]:~# dig caa etoppc.com.com ; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> caa etoppc.com.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54430 ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 65494 ;; QUESTION SECTION: ;etoppc.com.com. IN CAA ;; ANSWER SECTION: etoppc.com.com. 3600 IN CAA 0 issuewild "comodoca.com" etoppc.com.com. 3600 IN CAA 0 issuewild "letsencrypt.org" etoppc.com.com. 3600 IN CAA 0 issue "comodoca.com" etoppc.com.com. 3600 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" etoppc.com.com. 3600 IN CAA 0 issue "letsencrypt.org" etoppc.com.com. 3600 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" ;; Query time: 7 msec ;; SERVER: 127.0.0.53#53(127.0.0.53) ;; WHEN: Tue Oct 08 07:12:21 UTC 2019 ;; MSG SIZE rcvd: 298 [email protected]:~#
Ha szeretné ezt távolról tesztelni, használhatja DNS CAA tesztelő online eszköz.
Hogyan lehet CAA rekordot hozzáadni?
Technikailag ez ugyanúgy történik, mint más DNS-rekordok, például A, NS, CNAME stb. hozzáadása.
Ha Cloudflare-t használ, lépjen a DNS lapra >> rekord hozzáadása, és típusként válassza ki a CAA-t.
A GoDaddy esetében nyissa meg a DNS-kezelést, és adjon hozzá egy rekordot
Ha nem biztos benne, hogyan kell hozzáadni, forduljon segítségért DNS-/tárhelyszolgáltatójához.
Következtetés
Ha még nem, használja ki a CAA rekord előnyeit egy tartománybiztonsági réteg hozzáadásához. A CAA-rekord hozzáadása nem kerül Önnek.
Élvezettel olvasta a cikket? Mit szólnál a világgal való megosztáshoz?