Искористите предност ЦАА ДНС записа да овластите ЦА да изда ТЛС сертификате.
Преглед садржаја
Шта је ДНС ЦАА?
ЦАА је један од типова ДНС записа који упућује ЦА да ли треба да изда сертификат или не. Другим речима, дајете свету до знања ко треба да изда ваш домен ССЛ/ТЛС сертификат. Имплементација ЦАА је постала обавезна крајем 2017. године, тако да је релативно нова, а мање од 5% популарних сајтова је то имплементирало.
Узмимо пример – вдзвдз поседује сајт под називом „гф.дев“, који има следећи ЦАА запис.
gf.dev. 3586 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "comodoca.com" gf.dev. 3586 IN CAA 0 issue "comodoca.com" gf.dev. 3586 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "letsencrypt.org" gf.dev. 3586 IN CAA 0 issue "letsencrypt.org"
Гледајући горе наведене резултате, могу добити сертификат издат само од ДигиЦерт, Цомодо и Лет’с енцрипт. Ако затражим од Тхавте-а или другог ЦА-а да изда сертификат за гф.дев, они то неће моћи. Такође, ако обратите пажњу, приметићете да неки унос има проблема, а неки проблем. Хајде да сазнамо шта су они.
- проблем – инструкције ЦА да изда сертификат само за тај домен.
- иссуевилд – ЦА може издати џокер сертификат тако да се може користити у домену или поддомену.
ЦАА запис такође подржава иодеф (формат размене описа објеката инцидента) који омогућава ЦА да пошаље извештај о кршењу на наведену адресу е-поште или контакт детаље.
Шта се дешава када није пронађен ЦАА запис?
Ако домен нема ЦАА запис, онда свако може да генерише ЦСР за тај домен и добије сертификат који потписује било који ЦА. Ово је безбедносни ризик.
Да ли је сада јасно?
Постоји неколико скраћеница које сам користио горе. Хајде да проверимо шта су.
- ДНС – Систем имена домена
- ЦА – Ауторитет за издавање сертификата
- ЦАА – Овлашћење ауторитета за сертификацију
- ТЛС – Сигурност транспортног слоја
- ССЛ – Слој безбедне утичнице
Како проверити ДНС ЦАА запис?
Постоји више начина да потврдите ЦАА запис. Ако не желите да напустите свој терминал, можете проверити користећи команду диг.
dig caa $YOURWEBSITE.COM
Пример вдзвдз.цом
[email protected]:~# dig caa techblog.co.rs.com ; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> caa techblog.co.rs.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54430 ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 65494 ;; QUESTION SECTION: ;techblog.co.rs.com. IN CAA ;; ANSWER SECTION: techblog.co.rs.com. 3600 IN CAA 0 issuewild "comodoca.com" techblog.co.rs.com. 3600 IN CAA 0 issuewild "letsencrypt.org" techblog.co.rs.com. 3600 IN CAA 0 issue "comodoca.com" techblog.co.rs.com. 3600 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" techblog.co.rs.com. 3600 IN CAA 0 issue "letsencrypt.org" techblog.co.rs.com. 3600 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" ;; Query time: 7 msec ;; SERVER: 127.0.0.53#53(127.0.0.53) ;; WHEN: Tue Oct 08 07:12:21 UTC 2019 ;; MSG SIZE rcvd: 298 [email protected]:~#
Ако желите да тестирате ово на даљину, можете га користити ДНС ЦАА тестер онлајн алат.
Како додати ЦАА запис?
Технички, ово је исти начин на који додајете друге ДНС записе као што су А, НС, ЦНАМЕ, итд.
Ако користите Цлоудфларе, идите на картицу ДНС >> додајте запис и изаберите ЦАА као тип.
За ГоДадди, идите на ДНС Манагемент и додајте запис
Ако нисте сигурни како да додате, можете контактирати свог ДНС/хостинг провајдера за помоћ.
Закључак
Ако већ нисте, требало би да искористите ЦАА запис да додате слој безбедности домена. Додавање ЦАА записа вас не кошта.
Да ли сте уживали у читању чланка? Шта кажете на дељење са светом?