Izmantojiet CAA DNS ieraksta priekšrocības, lai pilnvarotu CA izsniegt TLS sertifikātus.
Kas ir DNS CAA?
CAA ir viens no DNS ierakstu veidiem, kas norāda CA, vai tai ir jāizsniedz sertifikāts. Citiem vārdiem sakot, jūs darāt pasaulei zināmu, kam ir jāizdod jūsu domēns SSL/TLS sertifikāts. CAA ieviešana kļuva obligāta 2017. gada beigās, tāpēc tā ir salīdzinoši jauna, un to ir ieviesušas mazāk nekā 5% populāru vietņu.
Ņemsim piemēru — pcdream.lt pieder vietne ar nosaukumu “gf.dev”, kurai ir šāds CAA ieraksts.
gf.dev. 3586 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "comodoca.com" gf.dev. 3586 IN CAA 0 issue "comodoca.com" gf.dev. 3586 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "letsencrypt.org" gf.dev. 3586 IN CAA 0 issue "letsencrypt.org"
Apskatot iepriekš minētos rezultātus, es varu iegūt sertifikātu, kas izsniegts tikai no DigiCert, Comodo un Let’s encrypt. Ja es lūgšu Thawte vai citai CA izsniegt sertifikātu gf.dev, viņi to nevarēs. Turklāt, ja pievērsīsit uzmanību, pamanīsit, ka ar kādu ierakstu ir problēmas, bet ar dažiem – savvaļas problēmām. Noskaidrosim, kas tie ir.
- izdot — uzdodiet CA izsniegt sertifikātu tikai šim domēnam.
- issuewild — CA var izsniegt aizstājējzīmes sertifikātu, lai to varētu izmantot domēnā vai apakšdomēnā.
CAA ieraksts atbalsta arī iodef (Incidentu objekta apraksta apmaiņas formāts), kas ļauj CA nosūtīt pārkāpumu ziņojumu uz norādīto e-pastu vai kontaktinformāciju.
Kas notiek, ja CAA ieraksts netiek atrasts?
Ja domēnam nav CAA ieraksta, ikviens var ģenerēt CSR šim domēnam un iegūt sertifikātu, ko paraksta jebkura CA. Tas ir drošības risks.
Vai tagad ir skaidrs?
Ir daži saīsinājumi, ko izmantoju iepriekš. Pārbaudīsim, kas tie ir.
- DNS – domēna vārdu sistēma
- CA — sertifikācijas iestāde
- CAA – sertifikācijas iestādes pilnvarojums
- TLS – transporta slāņa drošība
- SSL – drošo ligzdu slānis
Kā pārbaudīt DNS CAA ierakstu?
Ir vairāki veidi, kā apstiprināt CAA ierakstu. Ja nevēlaties atstāt savu termināli, varat pārbaudīt, izmantojot komandu dig.
dig caa $YOURWEBSITE.COM
Vietnes pcdream.lt.com piemērs
[email protected]:~# dig caa pcdream.lt.com ; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> caa pcdream.lt.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54430 ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 65494 ;; QUESTION SECTION: ;pcdream.lt.com. IN CAA ;; ANSWER SECTION: pcdream.lt.com. 3600 IN CAA 0 issuewild "comodoca.com" pcdream.lt.com. 3600 IN CAA 0 issuewild "letsencrypt.org" pcdream.lt.com. 3600 IN CAA 0 issue "comodoca.com" pcdream.lt.com. 3600 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" pcdream.lt.com. 3600 IN CAA 0 issue "letsencrypt.org" pcdream.lt.com. 3600 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" ;; Query time: 7 msec ;; SERVER: 127.0.0.53#53(127.0.0.53) ;; WHEN: Tue Oct 08 07:12:21 UTC 2019 ;; MSG SIZE rcvd: 298 [email protected]:~#
Ja vēlaties to pārbaudīt attālināti, varat to izmantot DNS CAA testeris tiešsaistes rīks.
Kā pievienot CAA ierakstu?
Tehniski tas ir tāds pats veids, kā pievienot citus DNS ierakstus, piemēram, A, NS, CNAME utt.
Ja izmantojat Cloudflare, dodieties uz DNS cilni >> pievienojiet ierakstu un atlasiet CAA kā veidu.
Lai izmantotu GoDaddy, dodieties uz DNS pārvaldību un pievienojiet ierakstu
Ja neesat pārliecināts, kā pievienot, varat sazināties ar savu DNS/mitināšanas pakalpojumu sniedzēju, lai saņemtu palīdzību.
Secinājums
Ja vēl neesat, izmantojiet CAA ieraksta priekšrocības, lai pievienotu domēna drošības slāni. CAA ieraksta pievienošana jums nemaksā.
Vai jums patika lasīt rakstu? Kā būtu ar dalīšanos ar pasauli?