Iskoristite DNS CAA zapise za autorizaciju izdavanja TLS sertifikata
Upoznajte se sa prednostima korišćenja DNS CAA zapisa kako biste kontrolisali koji sertifikacioni autoriteti (CA) mogu izdavati TLS sertifikate za vaš domen.
Šta je DNS CAA?
CAA je specifičan tip DNS zapisa koji pruža instrukcije sertifikacionim autoritetima (CA) o tome da li im je dozvoljeno da izdaju sertifikat za određeni domen. Jednostavnije rečeno, ovim zapisom definišete ko je ovlašćen da izdaje SSL/TLS sertifikate za vaš domen. Iako je implementacija CAA postala obavezna krajem 2017. godine, još uvek je relativno nova i primenjuje je manje od 5% popularnih veb lokacija.
Na primer, zamislimo da veb lokacija „gf.dev“ ima sledeće CAA zapise:
| gf.dev. | 3586 | IN | CAA | 0 issue „digicert.com; cansignhttpexchanges=yes“ |
| gf.dev. | 3586 | IN | CAA | 0 issuewild „comodoca.com“ |
| gf.dev. | 3586 | IN | CAA | 0 issue „comodoca.com“ |
| gf.dev. | 3586 | IN | CAA | 0 issuewild „digicert.com; cansignhttpexchanges=yes“ |
| gf.dev. | 3586 | IN | CAA | 0 issuewild „letsencrypt.org“ |
| gf.dev. | 3586 | IN | CAA | 0 issue „letsencrypt.org“ |
Na osnovu ovih zapisa, sertifikate za „gf.dev“ mogu izdati samo DigiCert, Comodo i Let’s Encrypt. Ukoliko zatražite izdavanje sertifikata od Thawte-a ili nekog drugog CA, zahtev će biti odbijen. Važno je primetiti da postoje različite vrste instrukcija: „issue“ i „issuewild“. Evo njihovog značenja:
- issue – dozvoljava CA da izda sertifikat samo za tačno navedeni domen.
- issuewild – omogućava CA da izda wildcard sertifikat, koji se može koristiti za domen i sve njegove poddomene.
CAA zapis takođe podržava iodef (Incident Object Description Exchange Format), koji omogućava CA da pošalje obaveštenje o prekršaju na određenu e-mail adresu ili kontakt podatke.
Šta se dešava kada ne postoji CAA zapis?
Ako domen nema definisan CAA zapis, bilo koji sertifikacioni autoritet može generisati CSR za taj domen i izdati sertifikat. Ovo predstavlja sigurnosni rizik.
Da li je sada jasnije?
Pre nego što nastavimo, kratak podsetnik na neke od skraćenica:
- DNS – Sistem imena domena (Domain Name System)
- CA – Sertifikacioni autoritet (Certificate Authority)
- CAA – Autorizacija sertifikacionog autoriteta (Certification Authority Authorization)
- TLS – Bezbednost transportnog sloja (Transport Layer Security)
- SSL – Sloj bezbedne utičnice (Secure Sockets Layer)
Kako proveriti DNS CAA zapis?
Postoji više načina za proveru CAA zapisa. Možete koristiti komandu „dig“ direktno u terminalu:
dig caa $VAŠAWEBSTRANICA.COM
Primer za „techblog.co.rs.com“:
[email protected]:~# dig caa techblog.co.rs.com ; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> caa techblog.co.rs.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54430 ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 65494 ;; QUESTION SECTION: ;techblog.co.rs.com. IN CAA ;; ANSWER SECTION: techblog.co.rs.com. 3600 IN CAA 0 issuewild "comodoca.com" techblog.co.rs.com. 3600 IN CAA 0 issuewild "letsencrypt.org" techblog.co.rs.com. 3600 IN CAA 0 issue "comodoca.com" techblog.co.rs.com. 3600 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" techblog.co.rs.com. 3600 IN CAA 0 issue "letsencrypt.org" techblog.co.rs.com. 3600 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" ;; Query time: 7 msec ;; SERVER: 127.0.0.53#53(127.0.0.53) ;; WHEN: Tue Oct 08 07:12:21 UTC 2019 ;; MSG SIZE rcvd: 298 [email protected]:~#
Alternativno, možete koristiti DNS CAA tester, online alat.
Kako dodati CAA zapis?
Tehnički proces dodavanja CAA zapisa je isti kao i kod drugih DNS zapisa (A, NS, CNAME itd.).
Ako koristite Cloudflare, idite na karticu DNS >> dodajte zapis i odaberite CAA kao tip zapisa.
Za GoDaddy, idite na DNS Management i dodajte zapis.
Ako niste sigurni kako da dodate CAA zapis, kontaktirajte svog DNS/hosting provajdera za pomoć.
Zaključak
Ukoliko već niste, trebalo bi da implementirate CAA zapise kako biste dodali dodatni sloj sigurnosti vašem domenu. Implementacija CAA zapisa je besplatna.
Da li vam se dopao ovaj članak? Podelite ga sa drugima!