Forstå CAA-tjekfejl og hvordan man løser dem

Se alle vejledninger

Oversigt

Certification Authority Authorization (CAA)-registreringer gør det muligt for domæneejere at angive, hvilke Certificate Authorities (CA'er) der kan udstede TLS certifikater for deres domæner.  CAA giver mandat til, at en CA skal gennemgå et domænes CAA-registrering(er) før certifikatudstedelse. Under CAA-tjekprocessen skal CA nå frem til en autoritativ domænenavneserver. Hvis der ikke er nogen CAA-registreringer til stede, kan CA fortsætte, hvis andre verifikationskriterier er opfyldt. Men hvis der findes CAA-registreringer, kan CA kun udstede et certifikat, hvis det udtrykkeligt er godkendt i en af ​​disse poster.  Denne vejledning skitserer almindelige CAA-kontrolfejl, forklarer, hvorfor de opstår, og giver handlingsrettede trin til at løse dem. At sikre korrekt CAA-konfiguration hjælper med at sikre dit domæne og beskytter mod uautoriseret certifikatudstedelse.

Hvad er CAA-tjekfejl?

Når et CAA-tjek mislykkes, betyder det, at der er problemer med CAA-posterne eller relaterede DNS-indstillinger for dit domæne, der forhindrer SSL.com i at udstede et certifikat. Der er tre hovedkategorier af CAA-kontrolfejl:
  • Nægtet: Fejl relateret til eksplicitte CAA-registreringer, der begrænser certifikatudstedelse.
  • DNSSEC: Problemer, der opstår fra DNSSEC-konfigurationer og -svar.
  • Sikkerhed: Fejl på grund af potentielle sikkerhedssårbarheder, såsom XSS.

Lær mere om SSL.com's betroede certifikater

Årsager til CAA-kontrolfejl

Afvis tests

  1. Tomt nummer tag: empty.basic.domainname.com – Mislykkes, hvis CAA-recorden er 0 problem ";", hvilket indikerer, at ingen CA er tilladt.
  2. Eksplicit benægtelse: Opstår, hvis CAA-registret eksplicit forbyder udstedelse for udstedelse eller issuewild. Hvis en CAA-registrering er til stede, skal den indeholde enten issue “ssl.com” eller issuewild “ssl.com”.
  3. Tag for store og små bogstaver i udgave: Problemtags med store bogstaver (store bogstaver-deny.basic.domainname.com) eller blandede store og små bogstaver (mixedcase-deny.basic.domainname.com) resulterer i fejl.
  4. Stort rekordsæt: big.basic.domainname.com – Mislykkes, hvis der er et for stort antal CAA-poster (f.eks. 1001).
  5. Ukendte kritiske egenskaber: critical1.basic.domainname.com og critical2.basic.domainname.com – Mislykkes, hvis der er uigenkendte egenskaber markeret som kritiske.
  6. Træklatring: Mislykkes, når CAA-registreringer på overordnet niveau (sub1.deny.basic.domainname.com) eller bedsteforælder (sub2.sub1.deny.basic.domainname.com) begrænser udstedelsen.
  7. CNAME-kæder: Mislykkes, hvis der findes CAA-begrænsninger på CNAME-mål i en kæde af CNAME'er, såsom cname-deny.basic.domainname.com, cname-cname-deny.basic.domainname.com og sub1.cname-deny.basic.domainname.com . Aktuel adfærd for CAA-poster med CNAME'er er, at hvis du anmoder om et certifikat for  a.domain.com og det er en cname rekord for sub.sub.anotherdomain.com så tjekker CAA også op til roddomænet af et andet domæne.com for en CAA-rekord.
  8. Afvis frem for tilladende forælder: deny.permit.basic.domainname.com – Mislykkes, hvis barnet er begrænset, selv når forælderen tillader udstedelse.
  9. IPv6-servere: ipv6only.domainname.com – Mislykkes, hvis CAA-posten kun er tilgængelig over IPv6, og CA ikke kan behandle den.

DNSSEC-fejl

  1. Udløbne DNSSEC-signaturer: expired.domainname-dnssec.com – Mislykkes, hvis DNSSEC-signaturer er udløbet.
  2. Manglende DNSSEC-signaturer: missing.domainname-dnssec.com – Mislykkes, hvis DNSSEC-signaturer mangler.
  3. Ikke-responsiv DNS-server: blackhole.domainname-dnssec.com – Mislykkes, hvis en DNSSEC-valideringskæde fører til en ikke-responsiv server.
  4. SERVFAIL-svar: servfail.domainname-dnssec.com – Mislykkes, hvis DNS-serveren svarer med SERVFAIL.
  5. AFVISET Svar: refused.domainname-dnssec.com – Mislykkes, hvis DNS-serveren svarer med REFUSED.

Sikkerhedskontrol

  1. XSS-sårbarhed: xss.domainname.com – Mislykkes, hvis problem-egenskaben indeholder HTML eller JavaScript, test mod XSS-sårbarheder.

Særlige og informative tests

Disse tests er relevante i specifikke scenarier, såsom automatiske SAN-tjek (Subject Alternative Name) eller visse DNS-aliasing-scenarier. Denne suite sikrer, at CA'er overholder basiskravene, specielt ved ikke at udstede certifikater, hvor CAA-begrænsninger gælder.

Sådan løses CAA-tjekfejl

Brug disse trin og værktøjer til at hjælpe med at løse CAA-kontrolfejl:
  1. Gennemgå CAA Records: Bekræft, at dine CAA-registreringer udtrykkeligt tillader certifikatmyndigheden som udsteder:  
    1. udstede "ssl.com" for domænet 
    2. issuewild "ssl.com" for wildcard-certifikater
  2. Brug gravekommandoen: Dette er et alsidigt netværksværktøj, der bruges til at interagere med DNS-navneservere. Det udfører DNS-forespørgsler og præsenterer svarene fra de servere, det forespørger på, hvilket gør det til et uvurderligt værktøj til at diagnosticere og løse problemer relateret til DNS. for eksempel: dig @1.1.1.1 domain.com CAA. det burde vise sig status: NOERROR
    1. Brug af dig-kommandoen til underdomæner: For at løse CAA-kontrolfejl for underdomæner såsom sub2.sub1.example.com ved hjælp af grave kommando, skal du sikre dig følgende: Den grave CAA-kommandoen skal vende tilbage NXDOMAIN or NOERROR hvis der ikke eksisterer nogen CAA-record, og dette skal verificeres for hvert niveau i domænehierarkiet – startende med det fulde domænenavn (FQDN) sub2.sub1.example.com, derefter flyttes op til sub1.example.com og til sidst på topdomæne example.com. Verifikationsprocessen fortsætter med at gå op til topdomænet, indtil den finder en CAA-record.
      Bemærk: Aktuel adfærd for CAA-poster med CNAME'er er, at hvis du anmoder om et certifikat for  a.domain.com og det er en cname rekord for sub.sub.anotherdomain.com så tjekker CAA også op til roddomænet af et andet domæne.com for en CAA-rekord.
  3. Brug Oracle's delv værktøj: delv er designet til at fejlfinde DNS-forespørgsler og validere svar ved hjælp af DNSSEC, der efterligner adfærden for en DNS-server, der er konfigureret til validering og videresendelse. Den sender forespørgsler til en specificeret server, inklusive dem til DNSKEY- og DS-poster, for at etablere tillidskæder uden at udføre iterativ opløsning. Værktøjet giver forskellige forespørgselsmuligheder, såsom logføring af resolverhentninger (+[no]rtrace), svardetaljer (+[no]mtrace), og valideringsprocesser (+[no]vtrace).
  4. Tjek DNSSEC-indstillinger: Værktøjer som DNSViz or Verisign DNSSEC Analyzer kan hjælpe med at validere din DNSSEC-opsætning.
  5. Kontakt din DNS-udbyder: For DNSSEC-relaterede fejl kan din DNS-udbyder hjælpe med at løse DNSSEC-signaturer eller konfigurationsproblemer.

Yderligere referencer 

For et praktisk kig på disse scenarier, besøg https://caatestsuite.com/.    

Relaterede SSL.com-vejledninger

Brug for at konfigurere CAA til at give SSL.com tilladelse til at udstede certifikater til dit domæne? Så, tak gennemgå denne artikel.
Twitter
Facebook
LinkedIn
Reddit
E-mail

SSL Support Team

Alle indlæg »

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.

Tag undersøgelse