Dns caa что это

Обновлено: 04.07.2024

Формат записи CAA

flag - Целое число без знака от 0 до 255
В настоящее время он используется для представления критического флага, который имеет определенное значение для RFC .
tag - Строка ASCII, которая представляет собой идентификатор свойства, представленного записью.
value - Значение, связанное с тегом.

Запись CAA состоит из байта флагов и пары значений тега-значения, называемой свойством. Несколько свойств могут быть связаны с одним и тем же доменным именем, публикуя несколько CAA RRsс этим доменным именем.

issue - разрешает указанному Центру Сертификации выдавать любой сертификат для домена.
issuewild - разрешает указанному Центру Сертификации выпустить только Wildcard сертификат для домена.
iodef - указывает URL-адрес, на который Центр Сертификации может сообщать о нарушении правил.

Использование записи CAA

Как указано в разделе формата, каждая запись CAA содержит только одну пару значений тег - значение. Тег должен быть одним из трех доступных в настоящее время тегов: issue. issuewild. iodef . Например, если хотите разрешить выдачу SSL-сертификатов для mydomain.com только для DigiCert добавте следующую запись CAA: mydomain.com. CAA 0 issue "digicert.com" Если хотите разрешить выпуск ССЛ сертификатов для двух Центров Сертификации, добавьте 2 записи CAA, по одному для каждого CA:
mydomain.com. CAA 0 issue "digicert.com"
mydomain.com. CAA 0 issue "thawte.com"

Если хотите разрешить Семантику выпуск FQDN сертификатов а Геотрасту выпуск только Wildcard сертификатов - используйте issuewild : mydomain.com. CAA 0 issue "digicert.com"
mydomain.com. CAA 0 issuewild "geotrust.com"

Обратите внимание, что присутствие issuewild запрещает issue. Поэтому Центру Сертификации DigiCert не разрешается выпустить Wildcard сертификаты для вашего домена

Чтобы получать уведомления о нарушениях правил, вы можете добавить запись с тегом iodef , содержащую адрес электронной почты для уведомления: mydomain.com. CAA 0 iodef "mailto:admin@mydomain.com"

Вопросы-Ответы по записям CAA

DigiCert всегда проверяет существование записей CAA - Да, система автоматически проверяет все заказы на записи в ДНС
Даже если запись CAA отсутствует, DigiCert может выдавать сертификат ssl? Да, поскольку использование CAA является добровольным для владельцев домена, и им не нужно указывать свои предпочтения
Если запись CAA существует и CA DigiCert отмечена как разрешенная - будет ли выдаваться сертификат DigiCert ssl. Если существует запись для любого из брендов DigiCert сертификат будет выпущен
Если запись CAA существует и CA DigiCert не помечена как разрешенная - будет ли выдаваться сертификат DigiCert ssl - Нет, в этом случае невозможно будет выдавать сертификат, клиенту необходимо будет обновить записи CAA.

Преимущества. CAA - это простой способ выразить предпочтение ЦС. Поскольку вы владеете своим доменным именем и контролируете всю информацию DNS для этого домена, вы можете добавить информацию CAA в DNS и изменить ее по своему желанию. Ни одна другая сторона, включая ЦС, не должна участвовать. Если вы отвечаете за инфраструктуру сертификатов вашей компании, вы можете воспользоваться CAA. Например, вы можете договориться о скидке на объем с конкретным ЦС и хотите приобрести все свои сертификаты из этого ЦС, чтобы сэкономить деньги. С помощью CAA вы можете получать предупреждения, когда сотрудник регистрируется для сертификата из другого ЦС. CAA также включает функцию, которая позволяет ЦС сообщать о недопустимых запросах сертификатов. Любой совместимый ЦС может уведомить вас по электронной почте, веб-сервису или обоим, о любом полученном им запросе сертификата, который не соответствует предпочтениям, установленным в вашей записи CAA. Если вы используете CAA, вы не привязаны к одному ЦС. Можно создать несколько записей CAA для нескольких центров сертификации, с которыми вы хотите работать. Или вы можете использовать CAA, чтобы указать, что ни один ЦС не должен выдавать сертификаты в ваш домен.

Повышает надежность проверки имени домена
Реализация проверки автоматическая с низким уровнем обслуживания
Позволяет идентифицировать высокоценные цели, которые помогут с глобальной проверкой высокоценных доменов
Мощная защита от мошеннических попыток

Также следует учитывать, что если некоторые CA используют CAA, а другие нет, то кто будет целью хакера для мошеннических сертификатов?

Соблюдение проверки записей является добровольным. Центры сертификации не обязаны проверять запись CAA или соблюдать ее содержимое, если они это сделают, если иное не указано в их заявлении о практике сертификации (CPS). Другими словами, CA все равно может игнорировать вашу запись CAA, если она соответствует заявлениям, сделанным в CPS о соответствии CAA. На момент написания этой статьи ни один ЦА не объявил о поддержке CAA; однако несколько государственных центров сертификации начинают его тестировать.
В настоящее время CAA представляет собой лишь частичное решение для обеспечения безопасности, поскольку у злоумышленников есть способы подмены DNS, и хотя расширения безопасности доменных имен (DNSSEC) могут защитить вашу запись CAA в DNS, DNSSEC в настоящее время широко не используется. CAA также необходимо будет широко внедрять и наблюдать за центрами сертификации, поэтому использование DNSSEC не является обязательным с помощью CAA, чтобы избежать ненужной зависимости от полного развертывания DNSSEC.
Возможно, вам будет сложно внести изменения в данные DNS. Возможно, вам придется вовлечь других людей в вашу компанию или внешнего поставщика, чтобы внести необходимые изменения.
Это может замедлить выпуск сертификата, если соответствующий CA проверяет вашу запись CAA и определяет, что она не указана в этой записи. CA может потребовать, чтобы вы обновили свою запись CAA до выдачи сертификата или можете получить отказ от одобрения выдачи сертификата.

CAA – тип записи DNS, с помощью которого владелец сайта может определить Центры сертификации (CAs) для выпуска сертификатов, содержащих конкретные доменные имена. Она была стандартизирована в 2013 году в RFC 6844, чтобы позволить Центру сертификации “уменьшить риск непреднамеренного ошибочного выпуска сертификата”. По умолчанию каждый публичный Центр сертификации имеет право выпускать сертификаты для любого доменного имени в общедоступном DNS при условии, что контроль над этим доменным именем подтвержден. Это означает, что возможный баг в одном из множества проверочных процессов Центров сертификации потенциально может затронуть каждое доменное имя. CAA позволяет владельцам доменов уменьшить этот риск.

Если вам не нужна CAA, можно ничего не делать (но см. ошибки CAA ниже). Если же вы хотели бы использовать CAA, чтобы ограничить число Центров сертификации, имеющих право выпуска сертификатов для вашего домена, нужно использовать провайдера DNS, который поддерживает настройку записей CAA. Список таких провайдеров можно найти на странице SSLMate’s CAA. Если ваш провайдер нашелся в списке, можно использовать генератор записей SSLMate’s CAA для создания набора записей CAA, перечисляющих центры сертификации, которые вы хотели бы разрешить.

Где разместить запись

CAA RFC определяет дополнительное поведение, называемое “tree-climbing”, которое требует, чтобы Центры сертификации также проверяли родительские домены для результата разрешения CNAME. Это дополнительное поведение было позже удалено в исправлении, поэтому Let’s Encrypt и другие Центры сертификации не реализовали его.

С тех пор как Let’s Encrypt стал проверять записи CAA, прежде чем выпустить любой сертификат, иногда появляются ошибки даже для доменов, не имеющих никаких записей CAA. При появлении ошибки невозможно определить, разрешен ли выпуск для затронутого домена, поскольку могут существовать записи CAA, запрещающие выпуск, которые не видны из-за ошибки.

Если вы получаете ошибки, связанные с CAA, сделайте еще несколько попыток, используя наше тестовое окружение, чтобы определить, является ли ошибка временной или постоянной. Если она постоянна, вам нужно обратиться с запросом в службу поддержки вашего DNS-провайдера или сменить провайдера. Если вы не знаете, кто ваш DNS-провайдер, выясните это у провайдера вашего хостинга.

Наконец, ошибки SERVFAIL могут быть вызваны перебоями в работе ваших полномочных серверов имен. Проверьте записи NS для ваших серверов имен и убедитесь, что каждый сервер доступен.

Иногда запросы CAA заканчиваются таймаутом. То есть полномочный сервер имен не отвечает даже после множества попыток. Чаще всего это происходит, если перед вашим сервером имен неправильно настроен файервол, который отвергает запросы DNS с неизвестным типом. Подайте заявку в службу поддержки вашего DNS-провайдера и спросите об их настройках файервола.

Let's Encrypt - это бесплатный, автоматизированный и открытый Центр Сертификации, созданный для вас некоммерческой организацией Internet Security Research Group (ISRG).

CAA (Certification Authority Authorization) — это новый тип DNS-записи, предназначенный для определения центров сертификации, которым разрешен выпуск SSL/TLS-сертификатов для определенного доменного имени или субдомена.

Крупнейшие и наиболее популярные центры сертификации договорились, что начиная с 8 сентября 2017 года в обязательном порядке строго следовать инструкциям, указанным в CAA-записях доменного имени или субдомена для которого запрашивается выпуск сертификата.

Использование CAA-записи позволит повысить уровень безопасности в сети Интернет и сократить случаи неавторизованного получения сертификатов для сторонних доменных имен.

Я подготовил подробную инструкцию, которая разъясняет возможности CAA-записи и формат ее использования.

Значение CAA-записи состоит из трех частей, разделенных пробелом:

0 — Если значение tag не поддерживается или не распознается центром сертификации, то центру сертификации разрешено по своему усмотрению выпустить сертификат для доменного имени или субдомена.
128 — Если значение tag не поддерживается или не распознается центром сертификации, то центр сертификации не должен выпускать сертификат для доменного имени или субдомена.

Значение tag может принимать одно из следующих значений:

issue — Определяет центр сертификации, которому разрешена выдача сертификата, для используемого в названии записи доменного имени или субдомена.
issuewild — Определяет центр сертификации, которому разрешена выдача wildcard-сертификата, для используемого в названии записи доменного имени или субдомена. Сертификат распространяется на доменное имя или субдомен непосредственно и на все его субдомены.
iodef — Определяет адрес электронной почты или URL (соответствующий стандарту RFC 5070), который центр сертификации должен использовать для уведомлений, в случае получения запроса на выпуск сертификата в нарушении определенных CAA-записью правил для доменного имени.

Значение value зависит от значения tag и должно быть заключено в двойные кавычки ("").

Некоторые центры сертификации позволяют использовать дополнительные параметры для значения value. В этом случае, параметры должны быть разделены точкой с запятой (;).

Пример: example.com. CAA 0 issue "comodoca.com"
Пример: example.com. CAA 0 issue ";"

Пример: example.com. CAA 0 issuewild "comodoca.com"
Пример: example.com. CAA 0 issuewild ";"

Пример: example.com. CAA 0 iodef "mailto:abuse@example.com"

Значение записи для доменного имени или субдомена наследуется на все его субдомены, если явно не задано другое.
Для определения двух и более центров сертификации для одного доменного имени или субдомена нужно использовать несколько CAA-записей.
Отсутствие CAA-записи будет интерпретироваться любым центром сертификации как разрешение на выпуск сертификата.
Полная спецификация CAA-записи доступна в документе RFC 6844.

Кто поддерживает?

CAA-запись поддерживают не все DNS-провайдеры. Актуальный список по состоянию на 30 августа 2017 года в алфавитном порядке:

Онлайн генераторы?

Вы можете воспользоваться этим или этим онлайн-генератором для правильного и быстрого создания необходимых CAA-записей.

DNS Certification Authority Authorization ( CAA ) - это механизм политики безопасности в Интернете , который позволяет владельцам доменных имен указывать центрам сертификации, уполномочены ли они выдавать цифровые сертификаты для определенного доменного имени . Это делается с помощью новой записи ресурса системы доменных имен (DNS) CAA .

Его разработали компьютерные ученые Филип Халлам-Бейкер и Роб Стрэдлинг в ответ на растущую озабоченность по поводу безопасности публично доверенных центров сертификации. Это стандарт, предложенный инженерной группой Интернета (IETF) .

СОДЕРЖАНИЕ

Задний план

Первый проект CAA был написан Филипом Халлам-Бейкером и Робом Стрэдлингом и представлен как проект IETF Internet в октябре 2010 года. Он был постепенно улучшен рабочей группой PKIX и одобрен IESG как RFC 6844 , Предлагаемый стандарт , в январе 2013 года. Вскоре после этого началось обсуждение CA / Browser Forum , и в марте 2017 года они проголосовали за то, чтобы сделать реализацию CAA обязательной для всех центров сертификации к сентябрю 2017 года. По крайней мере, один центр сертификации, Comodo , не смог внедрить CAA до истечения крайнего срока. Исследование 2017 года, проведенное Техническим университетом Мюнхена, выявило множество случаев, когда центры сертификации не могли правильно реализовать некоторые части стандарта.

В сентябре 2017 года Джейкоб Хоффман-Эндрюс представил Интернет-проект, призванный упростить стандарт CAA. Это было улучшено рабочей группой LAMPS и утверждено в качестве предлагаемого стандарта RFC 8659 в ноябре 2019 года.

По состоянию на январь 2020 года Qualys сообщает, что только 6,8% из 150 000 самых популярных веб-сайтов, поддерживающих TLS, используют записи CAA.

Записывать

Центры сертификации, реализующие CAA, выполняют поиск в DNS записей ресурсов CAA и, если таковые обнаруживаются, перед выдачей цифрового сертификата убедитесь, что они указаны как авторизованная сторона . Каждая запись ресурса CAA состоит из следующих компонентов:

флаг Флаги байт , который реализует расширяемую систему сигнализации для использования в будущем. По состоянию на 2018 год был определен только критический флаг эмитента , который указывает центрам сертификации, что они должны понимать соответствующий тег свойства перед выдачей сертификата. Этот флаг позволяет в будущем расширять протокол обязательными расширениями, аналогичными критическим расширениям в сертификатах X.509 . ярлык Одно из следующих свойств: проблема Это свойство разрешает владельцу домена, указанного в значении связанного свойства, выдавать сертификаты для домена, для которого опубликовано свойство. дикая Это свойство действует как проблема, но только разрешает выпуск сертификатов с подстановочными знаками и имеет приоритет над свойством выпуска для запросов сертификатов с подстановочными знаками. iodef Это свойство определяет метод, с помощью которого центры сертификации могут сообщать владельцу доменного имени о недействительных запросах сертификатов с использованием формата обмена описанием объекта инцидента . По состоянию на 2018 год не все центры сертификации поддерживают этот тег, поэтому нет гарантии, что все выдачи сертификатов будут сообщены. Почта для связи Все чаще контактная информация недоступна в WHOIS из-за опасений по поводу возможных нарушений GDPR. Это свойство позволяет владельцам доменов публиковать контактную информацию в DNS. Контактный телефон То же, что и выше, для телефонных номеров. стоимость Значение, связанное с выбранным тегом свойства.

Отсутствие каких - либо ВГ записей разрешает нормальный неограниченный выпуск, а также наличие одной пустого вопрос тега запрещает весь выпуск.

Третьи стороны, отслеживающие поведение центра сертификации, могут проверять недавно выпущенные сертификаты по записям CAA домена, но должны знать, что записи CAA домена могли измениться между временем выпуска сертификата и временем их проверки третьей стороной. Клиенты не должны использовать CAA в процессе проверки своих сертификатов.

Расширения

История

Черновик первого расширения стандарта CAA был опубликован 26 октября 2016 года, предлагая новый токен account-uri в конце свойства issue , который связывает домен с конкретной учетной записью среды автоматизированного управления сертификатами . Это было изменено 30 августа 2017 года, чтобы также включить новый токен методов проверки , который привязывает домен к определенному методу проверки, а затем 21 июня 2018 года были внесены дополнительные поправки для удаления дефиса в account-uri и методах проверки. делая их вместо методов учета и проверки .

Примеры

Чтобы запретить выдачу сертификатов, можно разрешить выдачу только пустому списку издателей:

Чтобы указать, что центры сертификации должны сообщать о недействительных запросах сертификатов на адрес электронной почты и на конечную точку межсетевой защиты в реальном времени :

Чтобы использовать будущее расширение протокола, например такое, которое определяет новое будущее свойство, которое должно быть понято центром сертификации, прежде чем они смогут безопасно продолжить, можно установить критический флаг эмитента :

Известные инциденты с соблюдением нормативных требований

В 2017 году было обнаружено, что Camerfirma неправильно проверяла записи CAA. Camerfirma заявила, что неправильно поняла базовые требования CA / Browser Forum, описывающие валидацию CAA.

В начале 2020 года Let's Encrypt сообщила, что их программное обеспечение неправильно запрашивало и проверяло записи CAA, что могло повлиять на более 3 миллионов сертификатов. Let's Encrypt работал с клиентами и операторами сайтов над заменой более 1,7 миллиона сертификатов, но решил не отзывать остальные, чтобы избежать простоя клиентов и поскольку срок действия всех затронутых сертификатов истечет менее чем через 90 дней.

CAA (Certificate Authority Authorization) – это стандарт, который предотвращает создание неавторизованных сертификатов SSL/TLS. Записи CAA позволяют владельцам доменов указывать, какие центры сертификации (Certificate Authorities, CA) могут выдавать сертификаты.

Требования

Краткий обзор записи CAA

CAA использует записи ресурсов системы доменных имен (Domain Name System, DNS).

Кроме этих общих полей DNS записи CAA используют три специальных поля: tags, values и flags.

Поле tag

issue разрешает одному ЦС выдавать сертификаты любого типа для определенного домена. Чтобы разрешить несколько таких центров сертификации, нужно создать индивидуальную запись для каждого из них.
issuewild разрешает одному ЦС выдавать только wildcard сертификаты для указанного домена. Опять же, чтобы разрешить несколько ЦС, нужно создать индивидуальную запись для каждого из них.
iodef определяет URL-адрес, по которому центр сертификации может сообщать о нарушении правил. Если вы хотите указать несколько таких адресов, каждому URL-адресу потребуется собственная запись.

Кроме того, стандарт CAA позволяет центрам сертификации определять собственные значения tag. Каждая запись CAA может иметь только одно значение tag.

Поле value

Значение в поле value зависит от значения поля tag.

Примечание: Стандарт CAA поддерживает:

На момент написания статьи не все провайдеры поддерживают эти функции.

Поле flag

Поле flag содержит беззнаковое целое между 0 и 255.

В настоящее время это поле используется для установки флага Issuer Critical, который определяет, как должен вести себя ЦС, когда он сталкивается с тегом, который он не понимает.

По умолчанию значение flag равно 0. При таком значении, если ЦС запрашивает DNS-запись для выдачи сертификата и находит тег, который он не понимает, он будет игнорировать эту запись и продолжать обрабатывать дополнительные записи.

Если поле flag любой из записей имеет значение 1 и ЦС не понимает значения тега этой записи, то отвечающий стандартам ЦС должен отказаться от выдачи сертификата.

Больше о записях CAA можно узнать в RFC 6844.

Создание записи CAA

Откройте панель управления вашего хостинг-провайдера. При создании новой записи для выбранного домена укажите CAA.

Создание записи с тегом issue

Затем можно принять запись. После этого в списке DNS-записей появится новая запись CAA.

Позже в запись можно добавить новые теги.

Если вы хотите разрешить другому ЦС предоставлять сертификаты, нужно будет добавить новую запись.

Создание записи с тегом issuewild

При отсутствии записи issuewild любой ЦС сможет выдавать wildcard-сертификаты. В этом примере вы узнаете, как добавить запись, которая позволит центру сертификации Comodo выдавать только wildcard-сертификаты.

Примечание: Вместо условного домена my-domain.certs укажите свое доменное имя.

После добавления записи для Comodo ни один другой ЦС не сможет выдать wildcard-сертификаты. Чтобы дать такое право другому ЦС, создайте для него отдельную запись.

Создание записи с тегом iodef

Теперь попробуйте добавить запись с тегом iodef. Такая запись позволит центру сертификации связаться с вами в случае каких-либо нарушений.

HOSTNAME: введите @, чтобы применить запись к домену my-domain.certs.
AUTHORITY GRANTED FOR: Укажите адрес электронной почты, по которому с вами можно связаться, например mailto:caapolicy@my-domain.certs
TAG: выберите значение iodef.
FLAGS: можно оставить значение по умолчанию, 0.
TTL (SECONDS): срок действия записи в секундах. Можно оставить значение по умолчанию, 3600.

Если ЦС обнаружит нарушения политики сертификатов, эта запись позволит ему связаться с вами.

Управление записями CAA

Больше информации о записях можно найти в разделе настроек DNS в панели управления.

Изменения будут немедленно отражены в панели управления. Как скоро изменения будут распространяться на DNS-серверы, определяет значение TTL.

Запрос DNS-записей

Здесь вы узнаете, как проверить правильность новых записей. Обратите внимание, что более старые версии обычных инструментов DNS (такие как dig) по умолчанию не возвращают записи CAA. Если вы хотите запросить свои записи с помощью инструмента командной строки, скорее всего, необходимо обновить инструмент.

Используйте сервис Google Public DNS service, чтобы проверить записи. Для этого укажите свой домен (например, my-domain.certs) и введите САА в поле RR Type и нажмите Resolve.

В результате в поле answer должны появиться ваши записи CAA.

Заключение

Теперь вы знаете, что такое записи САА, зачем они нужны, как их создавать и управлять ими.

Читайте также: