Inzicht in CAA-controlefouten en hoe u deze kunt oplossen

Bekijk alle gidsen

Overzicht

Met Certification Authority Authorization (CAA)-records kunnen domeineigenaren aangeven welke certificaatautoriteiten (CA's) certificaten mogen uitgeven. TLS certificaten voor hun domeinen.  CAA vereist dat een CA de CAA-record(s) van een domein moet beoordelen voordat het certificaat wordt uitgegeven. Tijdens het CAA-controleproces moet de CA een gezaghebbende domeinnaamserver. Als er geen CAA-records aanwezig zijn, kan de CA doorgaan als aan andere verificatiecriteria wordt voldaan. Als er echter CAA-records aanwezig zijn, kan de CA alleen een certificaat uitgeven als dit expliciet is geautoriseerd in een van deze records.  Deze gids beschrijft veelvoorkomende CAA-controlefouten, legt uit waarom ze optreden en biedt uitvoerbare stappen om ze op te lossen. Zorgen voor een juiste CAA-configuratie helpt uw ​​domein te beveiligen en beschermt tegen ongeautoriseerde certificaatuitgifte.

Wat zijn CAA-controlefouten?

Wanneer een CAA-controle mislukt, betekent dit dat er problemen zijn met de CAA-records of gerelateerde DNS-instellingen voor uw domein waardoor SSL.com geen certificaat kan uitgeven. Er zijn drie hoofdcategorieën van mislukte CAA-controles:
  • Denied: Fouten met betrekking tot expliciete CAA-records die de uitgifte van certificaten beperken.
  • DNSSEC: Problemen die voortvloeien uit DNSSEC-configuraties en -reacties.
  • Beveiliging: Fouten als gevolg van mogelijke beveiligingsproblemen, zoals XSS.

Meer informatie over de vertrouwde certificaten van SSL.com

Redenen voor mislukte CAA-controles

Tests weigeren

  1. Lege uitgave Tag: empty.basic.domainname.com – Mislukt als het CAA-record 0 is en er “;” wordt uitgegeven, wat aangeeft dat er geen CA is toegestaan.
  2. Expliciete ontkenning: Treedt op als de CAA-record expliciet uitgifte voor issue of issuewild niet toestaat. Als er een CAA-record aanwezig is, moet deze issue "ssl.com" of issuewild "ssl.com" bevatten.
  3. Hoofdlettergevoeligheid in probleemtag: Probleemtags met hoofdletters (uppercase-deny.basic.domainname.com) of hoofdletters en kleine letters (mixedcase-deny.basic.domainname.com) resulteren in een fout.
  4. Grote platenset: big.basic.domainname.com – Mislukt als er een te groot aantal CAA-records is (bijv. 1001).
  5. Onbekende kritische eigenschappen: critical1.basic.domainname.com en critical2.basic.domainname.com – Mislukt als er niet-herkende eigenschappen zijn gemarkeerd als kritiek.
  6. Bomen klimmen: Mislukt wanneer CAA-records op bovenliggend (sub1.deny.basic.domainname.com) of grootouderniveau (sub2.sub1.deny.basic.domainname.com) de uitgifte beperken.
  7. CNAME-ketens: Mislukt als er CAA-beperkingen bestaan ​​bij CNAME-doelen in een keten van CNAME's, zoals cname-deny.basic.domeinnaam.com, cname-cname-deny.basic.domeinnaam.com en sub1.cname-deny.basic.domeinnaam.com. Het huidige gedrag voor CAA-records met CNAME's is dat als u een certificaat aanvraagt ​​voor  a.domein.com en het is een cname-record voor sub.sub.een anderdomein.com dan zal de CAA-controle ook tot aan het rootdomein controleren eenanderdomein.com voor een CAA-record.
  8. Ontkennen over permissieve ouder: deny.permit.basic.domainname.com – Mislukt als het kind beperkingen heeft, zelfs als de ouder de uitgifte toestaat.
  9. Servers die alleen IPv6 ondersteunen: ipv6only.domainname.com – Mislukt als het CAA-record alleen toegankelijk is via IPv6 en de CA het niet kan verwerken.

DNSSEC-fouten

  1. Verlopen DNSSEC-handtekeningen: expired.domainname-dnssec.com – Mislukt als DNSSEC-handtekeningen verlopen zijn.
  2. Ontbrekende DNSSEC-handtekeningen: missing.domainname-dnssec.com – Mislukt als DNSSEC-handtekeningen ontbreken.
  3. Niet-reagerende DNS-server: blackhole.domeinnaam-dnssec.com – Mislukt als een DNSSEC-validatieketen leidt tot een niet-reagerende server.
  4. SERVFAIL-reactie: servfail.domeinnaam-dnssec.com – Mislukt als de DNS-server reageert met SERVFAIL.
  5. GEWEIGERD Reactie: rejected.domainname-dnssec.com – Mislukt als de DNS-server reageert met REFUSED.

Beveiligingscontroles

  1. XSS-kwetsbaarheid: xss.domeinnaam.com – Mislukt als de probleemeigenschap HTML of JavaScript bevat, waarbij wordt getest op XSS-kwetsbaarheden.

Speciale en informatieve tests

Deze tests zijn relevant in specifieke scenario's, zoals automatische SAN-controles (Subject Alternative Name) of bepaalde DNS-aliasingscenario's. Met deze suite zorgen we ervoor dat CA's voldoen aan de basisvereisten, met name door geen certificaten uit te geven waar CAA-beperkingen van toepassing zijn.

Hoe u CAA-controlefouten kunt oplossen

Gebruik deze stappen en hulpmiddelen om CAA-controlefouten op te lossen:
  1. Bekijk CAA-records: Controleer of uw CAA-records de certificeringsinstantie expliciet toestaan ​​als uitgever:  
    1. geef “ssl.com” op voor het domein 
    2. issuewild “ssl.com” voor wildcard-certificaten
  2. Gebruik de opdracht dig: Dit is een veelzijdige netwerktool die wordt gebruikt om te communiceren met DNS-naamservers. Het voert DNS-query's uit en presenteert de antwoorden van de servers die het bevraagt, waardoor het een onschatbare tool is voor het diagnosticeren en oplossen van problemen met DNS. Bijvoorbeeld: dig @1.1.1.1 domain.com CAA. Het zou moeten laten zien status:GEENFOUT
    1. De opdracht dig gebruiken voor subdomeinen: Om CAA-controlefouten voor subdomeinen zoals sub2.sub1.example.com op te lossen met behulp van de graven commando, zorg ervoor dat het volgende: De graven CAA-opdracht moet terugkeren NXDOMEIN or GEEN FOUT als er geen CAA-record bestaat, en dit moet worden geverifieerd voor elk niveau van de domeinhiërarchie, beginnend met de volledige domeinnaam (FQDN) sub2.sub1.example.com, dan omhoog naar sub1.example.com en ten slotte bij het topleveldomein example.com. Het verificatieproces gaat door tot het topleveldomein totdat er een CAA-record wordt gevonden.
      Let op: het huidige gedrag voor CAA-records met CNAME's is dat als u een certificaat aanvraagt ​​voor  a.domein.com en het is een cname-record voor sub.sub.een anderdomein.com dan zal de CAA-controle ook tot aan het rootdomein controleren eenanderdomein.com voor een CAA-record.
  3. Gebruik Oracle's delv-tool: delv is ontworpen om DNS-query's te troubleshooten en reacties te valideren met behulp van DNSSEC, waarbij het gedrag van een DNS-server die is geconfigureerd voor validatie en doorsturen wordt nagebootst. Het stuurt query's naar een opgegeven server, inclusief die voor DNSKEY- en DS-records, om vertrouwensketens te vestigen zonder iteratieve resolutie uit te voeren. De tool biedt verschillende query-opties, zoals het loggen van resolver-ophalen (+[no]rtrace), antwoorddetails (+[no]mtrace), en validatieprocessen (+[no]vtrace).
  4. Controleer DNSSEC-instellingen: Hulpmiddelen zoals DNSViz or Verisign DNSSEC-analysator kan u helpen uw DNSSEC-configuratie te valideren.
  5. Raadpleeg uw DNS-provider: Bij DNSSEC-gerelateerde storingen kan uw DNS-provider u helpen met het oplossen van DNSSEC-handtekeningen of configuratieproblemen.

Aanvullende verwijzingen 

Voor een praktische blik op deze scenario's, bezoek https://caatestsuite.com/.    

Gerelateerde SSL.com-gidsen

Moet u CAA configureren om SSL.com te autoriseren om certificaten voor uw domein uit te geven? Dan alsjeblieft bekijk dit artikel.
Twitter
Facebook
LinkedIn
Reddit
E-mail

SSL-ondersteuningsteam

Alle berichten "

Blijf geïnformeerd en veilig

SSL.com is een wereldleider op het gebied van cyberbeveiliging, PKI en digitale certificaten. Meld u aan om het laatste branchenieuws, tips en productaankondigingen te ontvangen van SSL.com.

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.

Enquête invullen