Dra nytte av CAA DNS-posten for å autorisere CA til å utstede TLS-sertifikatene.
Innholdsfortegnelse
Hva er DNS CAA?
CAA er en av DNS-posttypene som instruerer CA om de skal utstede et sertifikat eller ikke. Med et annet ord, du lar verden få vite hvem som skal utstede domenet ditt SSL/TLS-sertifikat. CAA-implementering ble obligatorisk sent i 2017, så det er relativt nytt, og mindre enn 5 % av populære nettsteder har implementert dette.
La oss ta et eksempel – tipsbilk.net eier et nettsted kalt «gf.dev,» som har følgende CAA-rekord.
gf.dev. 3586 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "comodoca.com" gf.dev. 3586 IN CAA 0 issue "comodoca.com" gf.dev. 3586 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "letsencrypt.org" gf.dev. 3586 IN CAA 0 issue "letsencrypt.org"
Ved å se på resultatene ovenfor, kan jeg få sertifikatet utstedt kun fra DigiCert, Comodo og Let’s encrypt. Hvis jeg ber Thawte eller andre CA om å utstede et sertifikat for gf.dev, vil de ikke kunne det. Også, hvis du er oppmerksom, vil du legge merke til at noen oppføringer har problemer og noen vilde. La oss finne ut hva de er.
- issue – instruer CA om å utstede sertifikatet bare for det domenet.
- issuewild – CA kan utstede jokertegnsertifikatet slik at det kan brukes i et domene eller underdomene.
CAA-posten støtter også iodef (utvekslingsformat for hendelsesobjektbeskrivelse) som lar CA sende bruddrapport til den angitte e-posten eller kontaktinformasjonen.
Hva skjer når ingen CAA-registrering blir funnet?
Hvis et domene ikke har en CAA-post, kan hvem som helst generere en CSR for det domenet og få sertifikatet signert av en hvilken som helst CA. Dette er en sikkerhetsrisiko.
Er det klart nå?
Det er noen få forkortelser jeg har brukt ovenfor. La oss sjekke ut hva de er.
- DNS – Domenenavnsystem
- CA – Sertifiseringsinstans
- CAA – Autorisasjon fra sertifiseringsinstans
- TLS – Transportlagssikkerhet
- SSL – Sikkert socketlag
Hvordan sjekker jeg DNS CAA-posten?
Det er flere måter å validere CAA-posten på. Hvis du ikke vil forlate terminalen din, kan du sjekke ved å bruke dig-kommandoen.
dig caa $YOURWEBSITE.COM
Eksempel på tipsbilk.net.com
[email protected]:~# dig caa tipsbilk.net.com ; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> caa tipsbilk.net.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54430 ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 65494 ;; QUESTION SECTION: ;tipsbilk.net.com. IN CAA ;; ANSWER SECTION: tipsbilk.net.com. 3600 IN CAA 0 issuewild "comodoca.com" tipsbilk.net.com. 3600 IN CAA 0 issuewild "letsencrypt.org" tipsbilk.net.com. 3600 IN CAA 0 issue "comodoca.com" tipsbilk.net.com. 3600 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" tipsbilk.net.com. 3600 IN CAA 0 issue "letsencrypt.org" tipsbilk.net.com. 3600 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" ;; Query time: 7 msec ;; SERVER: 127.0.0.53#53(127.0.0.53) ;; WHEN: Tue Oct 08 07:12:21 UTC 2019 ;; MSG SIZE rcvd: 298 [email protected]:~#
Hvis du liker å teste dette eksternt, kan du bruke DNS CAA-tester online verktøy.
Hvordan legge til en CAA-post?
Teknisk sett er dette på samme måte som du legger til andre DNS-poster som A, NS, CNAME, etc.
Hvis du bruker Cloudflare, gå til DNS-fanen >> legg til en post og velg CAA som type.
For GoDaddy, gå til DNS Management og legg til en post
Hvis du ikke er sikker på hvordan du legger til, kan du kontakte DNS-/vertsleverandøren din for å få hjelp.
Konklusjon
Hvis ikke allerede, bør du dra nytte av CAA-posten for å legge til et lag med domenesikkerhet. Det koster deg ikke å legge til en CAA-post.
Likte du å lese artikkelen? Hva med å dele med verden?