|
DNS记录将有助于防止未经授权的SSL证书,远程控制软件,灰鸽子监控软件
证书颁发机构将需要遵守一个新的DNS记录,该DNS记录指定谁授权为域颁发证书
几个月后,公开信任的证书颁发机构将不得不开始尊重特定的域名系统(DNS)记录,允许域所有者指定谁允许为其域发布SSL证书。
证书颁发机构授权(CAA)DNS记录在2013年成为标准,但没有太多的真实世界影响,因为证书颁发机构(CA)没有义务遵守它们。
该记录允许域所有者列出允许为该域发布SSL / TLS证书的CA。这样做的原因是为了限制未经授权的证书颁发,如果CA被泄密或有流氓员工,这可能是意外的或故意的。
根据由CA /浏览器论坛创建的现有行业规则,一个组合主要浏览器供应商和CA的组织,证书颁发机构必须验证SSL证书请求源自域所有者本身或控制这些域的人员。
此所有权验证通常是自动的,并且涉及要求域所有者创建具有特定值的DNS TXT记录,或者在其站点结构中的特定位置上传授权码,从而证明其对域的控制。
然而,黑客进入网站也可能使攻击者有能力通过此类验证,并从任何证书颁发机构请求受侵害域的有效证书。这样的证书可以稍后被用于对用户发起中间人攻击或将其引导到网络钓鱼页面。
CAA记录背后的目标是限制谁可以为域颁发证书。例如,Google的CAA记录是:google.com 86400 IN CAA 0期“symantec.com”。这意味着Google专门授权Symantec颁发其主域名证书。
3月份,CA / B论坛投票决定CAA记录检查是发证过程的一部分。这项要求将于9月8日起施行,不符合行业规定的认证机构将违反行业规定,并将面临制裁风险。
除了“问题”标签之外,CAA记录还支持一个名为“iodef”的标签,CA也符合要求。此标记允许域所有者指定电子邮件地址或URL,CA可以报告与域的CAA策略冲突的证书颁发请求。
例如,如果一个CA收到对域X的证书的请求,但域X具有授权不同的CA颁发证书的CAA记录,则第一个CAmust将可疑请求报告给电子邮件地址或CAA中指定的URL iodef属性。这将提醒域名所有者,其他人可能尝试未经授权获得证书。
安全研究员和HTTPS部署专家Scott Helme在一篇博文中说:“CAA不是一个银弹,而是我们防御的另一个层面。 “我们不用担心供应商锁定,因为记录只能在发行时进行检查,设置起来不太简单,没有什么可失去的。”
|
|