🌐 Что такое DNS CAA и как проверить и внедрить? — Information Security Squad

🌐 Что такое DNS CAA и как проверить и внедрить?

Воспользуйтесь DNS-записью CAA, чтобы авторизовать CA для выдачи сертификатов TLS.

1 Что такое DNS CAA?

CAA — это один из типов записей DNS, который сообщает CA, следует ли выдавать сертификат или нет.
Другими словами, вы даете миру знать, кто должен выдавать сертификат вашего домена SSL / TLS.
Внедрение CAA стало обязательным в конце 2017 года, поэтому оно относительно новое, и менее 5% популярных сайтов внедрили эту технологию.
Давайте рассмотрим пример — Geekflare владеет сайтом под названием «gf.dev», который имеет следующую запись CAA.
gf.dev.			3586	IN	CAA	0 issue "digicert.com; cansignhttpexchanges=yes"
gf.dev.			3586	IN	CAA	0 issuewild "comodoca.com"
gf.dev.			3586	IN	CAA	0 issue "comodoca.com"
gf.dev.			3586	IN	CAA	0 issuewild "digicert.com; cansignhttpexchanges=yes"
gf.dev.			3586	IN	CAA	0 issuewild "letsencrypt.org"
gf.dev.			3586	IN	CAA	0 issue "letsencrypt.org"
Глядя на приведенные выше результаты, я могу получить сертификат, выданный только от DigiCert, Comodo и Let’s encrypt.
Если я попрошу Thawte или другой центр сертификации выдать сертификат для gf.dev, они не смогут.
Кроме того, если вы обратите внимание, вы заметите, что некоторые записи имеют проблемы, а некоторые — новые.
Давайте выясним, в чем же дело.
  • issue — поручает CA выдать сертификат только для этого домена.
  • issewild — CA может выдать групповой сертификат, чтобы его можно было использовать в домене или поддомене.
Запись CAA также поддерживает iodef (формат обмена описанием объекта инцидента), который позволяет CA отправлять отчет о нарушении на указанный адрес электронной почты или контактную информацию.

2 Что происходит, когда запись CAA не найдена?

Если у домена нет записи CAA, тогда любой может сгенерировать CSR для этого домена и получить сертификат, подписанный любым CA.

Это угроза безопасности.

Теперь ясно?

Есть несколько сокращений, которые я использовал выше.
Давайте посмотрим, что они значат. ( на всякий )
  • DNS – Domain name system
  • CA – Certificate authority
  • CAA – Certification authority authorization
  • TLS – Transport layer security
  • SSL – Secure socket layer

3 Как проверить запись DNS CAA?

Существует несколько способов проверки записи CAA.

Если вы не хотите покидать свой терминал, вы можете проверить это, используя команду dig:

dig caa $TVOISAIT.COM

Пример geekflare.com

# dig caa geekflare.com

; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> caa geekflare.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54430
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;geekflare.com.			IN	CAA

;; ANSWER SECTION:
geekflare.com.		3600	IN	CAA	0 issuewild "comodoca.com"
geekflare.com.		3600	IN	CAA	0 issuewild "letsencrypt.org"
geekflare.com.		3600	IN	CAA	0 issue "comodoca.com"
geekflare.com.		3600	IN	CAA	0 issue "digicert.com; cansignhttpexchanges=yes"
geekflare.com.		3600	IN	CAA	0 issue "letsencrypt.org"
geekflare.com.		3600	IN	CAA	0 issuewild "digicert.com; cansignhttpexchanges=yes"

;; Query time: 7 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Tue Oct 08 07:12:21 UTC 2019
;; MSG SIZE  rcvd: 298
Если вы хотите проверить это удаленно, то вы можете использовать онлайн-инструмент DNS CAA Tester.

4 Как добавить запись CAA?

Технически это происходит так же, как и при добавлении других записей DNS, таких как A, NS, CNAME и т. д.
Если вы используете Cloudflare, перейдите на вкладку DNS >> add a record и выберите тип CAA.
Для GoDaddy, перейдите в DNS Management  и добавьте запись
Если вы не знаете, как добавить эту запись, вы всегда можете обратиться за помощью к своему провайдеру DNS / хостинга.

Заключение

Если вы еще не используете эту технологию, вы должны воспользоваться записью CAA, чтобы добавить уровень безопасности домена.

Добавление записи CAA не стоит вам ничего.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40