adminvista.com

Vad är DNS CAA och hur valideras och implementeras?

By rik

Utnyttja kraften i DNS CAA-poster för att godkänna certifikatutfärdare

Upptäck fördelarna med att använda CAA DNS-poster för att styra vilka certifikatutfärdare (CA) som får utfärda TLS-certifikat för din domän.

Vad är DNS CAA?

CAA-poster är en specifik typ av DNS-resurspost som ger certifikatutfärdare (CA) instruktioner om huruvida de ska utfärda ett SSL/TLS-certifikat för en specifik domän. I grunden låter du världen veta vilka CA:er som är godkända att hantera certifikat för din domän. CAA-implementeringen blev obligatorisk i slutet av 2017 och är fortfarande relativt ny, vilket återspeglas i att endast en minoritet av populära webbplatser faktiskt har implementerat dessa poster.

Låt oss exemplifiera detta med domänen ”gf.dev”, som ägs av adminvista.com. Följande CAA-poster är konfigurerade:

    gf.dev.			3586	IN	CAA	0 issue "digicert.com; cansignhttpexchanges=yes"
    gf.dev.			3586	IN	CAA	0 issuewild "comodoca.com"
    gf.dev.			3586	IN	CAA	0 issue "comodoca.com"
    gf.dev.			3586	IN	CAA	0 issuewild "digicert.com; cansignhttpexchanges=yes"
    gf.dev.			3586	IN	CAA	0 issuewild "letsencrypt.org"
    gf.dev.			3586	IN	CAA	0 issue "letsencrypt.org"

Dessa poster indikerar att certifikat endast får utfärdas av DigiCert, Comodo och Let’s Encrypt. Försök att få ett certifikat utfärdat av en annan CA, som Thawte, kommer att misslyckas. Observera att det finns skillnader mellan ”issue” och ”issuewild” direktiv, vilka beskrivs nedan:

  • issue: Detta direktiv instruerar certifikatutfärdaren att endast utfärda certifikat för exakt den angivna domänen.
  • issuewild: Detta direktiv tillåter certifikatutfärdaren att utfärda jokerteckencertifikat, som kan användas för domänen och dess underdomäner.

CAA-poster stöder också ”iodef” (Incident Object Description Exchange) vilket gör det möjligt för certifikatutfärdare att skicka rapporter om misslyckade utfärdanden till en specificerad e-postadress eller annan kontaktinformation.

Vad händer om det inte finns någon CAA-post?

Om en domän saknar CAA-post kan en CSR (Certificate Signing Request) genereras och certifikatet signeras av vilken CA som helst. Denna situation innebär en säkerhetsrisk, eftersom den ger utrymme för obehöriga aktörer att utfärda certifikat.

För att säkerställa en djupare förståelse, låt oss gå igenom de förkortningar som nämnts:

  • DNS – Domännamnssystem
  • CA – Certifikatutfärdare
  • CAA – Certifikatgodkännande
  • TLS – Transport Layer Security
  • SSL – Secure Socket Layer

Hur man kontrollerar DNS CAA-posten

Det finns flera sätt att verifiera CAA-poster. Ett sätt är via terminalen med kommandot ”dig”:

  dig caa $DINWEBBPLATS.COM

Här är ett exempel som använder ”adminvista.com.com”:

  [email protected]:~# dig caa adminvista.com.com

; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> caa adminvista.com.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54430
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;adminvista.com.com.			IN	CAA

;; ANSWER SECTION:
adminvista.com.com.		3600	IN	CAA	0 issuewild "comodoca.com"
adminvista.com.com.		3600	IN	CAA	0 issuewild "letsencrypt.org"
adminvista.com.com.		3600	IN	CAA	0 issue "comodoca.com"
adminvista.com.com.		3600	IN	CAA	0 issue "digicert.com; cansignhttpexchanges=yes"
adminvista.com.com.		3600	IN	CAA	0 issue "letsencrypt.org"
adminvista.com.com.		3600	IN	CAA	0 issuewild "digicert.com; cansignhttpexchanges=yes"

;; Query time: 7 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Tue Oct 08 07:12:21 UTC 2019
;; MSG SIZE  rcvd: 298

[email protected]:~#

Du kan också använda DNS CAA-testverktyg online för att verifiera CAA-poster.

Hur man lägger till en CAA-post

Att lägga till en CAA-post är tekniskt sett likt att lägga till andra DNS-poster som A, NS, CNAME, etc. Vissa DNS-leverantörer, som Cloudflare och GoDaddy, erbjuder gränssnitt där du kan lägga till CAA-poster genom att välja typen ’CAA’ i DNS-inställningarna.

Om du är osäker på hur du lägger till en CAA-post, kontakta din DNS- eller webbhotellleverantör för assistans.

Sammanfattning

Det är starkt rekommenderat att utnyttja CAA-poster för att förbättra säkerheten för din domän. Det är en kostnadsfri åtgärd som kan ge ett betydande skydd. Genom att konfigurera CAA-poster säkerställer du att endast de godkända certifikatutfärdarna kan utfärda SSL/TLS-certifikat för din webbplats.

Hoppas att denna artikel var till nytta. Överväg att dela den med andra.

Bygg en Python Multiplication Table App med OOP

25 Kör kommandon i Windows som du bör memorera