Forstå CAA-sjekkfeil og hvordan du kan løse dem

Se alle guider

Oversikt

Certification Authority Authorization (CAA)-poster lar domeneeiere spesifisere hvilke Certificate Authorities (CAer) som kan utstede TLS sertifikater for deres domener.  CAA gir mandat at en CA må gjennomgå et domenes CAA-post(er) før sertifikatutstedelse. Under CAA-sjekkprosessen må CA nå en autoritativ domenenavntjener. Hvis ingen CAA-poster er til stede, kan CA fortsette hvis andre verifikasjonskriterier er oppfylt. Imidlertid, hvis det finnes CAA-poster, kan CA bare utstede et sertifikat hvis det er eksplisitt autorisert i en av disse postene.  Denne veiledningen skisserer vanlige CAA-kontrollfeil, forklarer hvorfor de oppstår, og gir handlingsrettede trinn for å løse dem. Å sikre riktig CAA-konfigurasjon bidrar til å sikre domenet ditt og beskytter mot uautorisert sertifikatutstedelse.

Hva er CAA-sjekkfeil?

Når en CAA-sjekk mislykkes, betyr det at det er problemer med CAA-postene eller relaterte DNS-innstillinger for domenet ditt som hindrer SSL.com fra å utstede et sertifikat. Det er tre hovedkategorier av CAA-kontrollfeil:
  • Denied: Feil knyttet til eksplisitte CAA-poster som begrenser utstedelse av sertifikater.
  • DNSSEC: Problemer som oppstår fra DNSSEC-konfigurasjoner og svar.
  • Sikkerhet: Feil på grunn av potensielle sikkerhetssårbarheter, for eksempel XSS.

Lær mer om SSL.coms pålitelige sertifikater

Årsaker til CAA-sjekkfeil

Avslå tester

  1. Tomt utgavetag: empty.basic.domainname.com – Mislykkes hvis CAA-posten er 0 utgave ";", noe som indikerer at ingen CA er tillatt.
  2. Eksplisitt avslag: Oppstår hvis CAA-posten eksplisitt ikke tillater utstedelse for utstedelse eller issuewild. Hvis en CAA-post er til stede, må den inneholde enten problemet "ssl.com" eller issuewild "ssl.com".
  3. Tag for store og små bokstaver i problemet: Problemkoder med store bokstaver (store bokstaver-deny.basic.domainname.com) eller blandede store og små bokstaver (mixedcase-deny.basic.domainname.com) resulterer i feil.
  4. Stort rekordsett: big.basic.domainname.com – Mislykkes hvis det er et for stort antall CAA-poster (f.eks. 1001).
  5. Ukjente kritiske egenskaper: critical1.basic.domainname.com og critical2.basic.domainname.com – Mislykkes hvis det er ukjente egenskaper merket som kritiske.
  6. Treklatring: Mislykkes når CAA-registreringer på overordnet nivå (sub1.deny.basic.domainname.com) eller besteforeldre (sub2.sub1.deny.basic.domainname.com) begrenser utstedelsen.
  7. CNAME-kjeder: Mislykkes hvis CAA-begrensninger eksisterer på CNAME-mål i en kjede av CNAME-er, for eksempel cname-deny.basic.domainname.com, cname-cname-deny.basic.domainname.com og sub1.cname-deny.basic.domainname.com . Gjeldende oppførsel for CAA-poster med CNAME-er er at hvis du ber om et sertifikat for  a.domain.com og det er en cname-rekord for sub.sub.anotherdomain.com da vil CAA-sjekken også sjekke opp til rotdomenet til annetdomene.com for en CAA-rekord.
  8. Nekt over tillatende forelder: deny.permit.basic.domainname.com – Mislykkes hvis barnet er begrenset selv når forelderen tillater utstedelse.
  9. IPv6-bare servere: ipv6only.domainname.com – Mislykkes hvis CAA-posten kun er tilgjengelig over IPv6, og CA ikke kan behandle den.

DNSSEC-feil

  1. Utløpte DNSSEC-signaturer: expired.domainname-dnssec.com – Mislykkes hvis DNSSEC-signaturer er utløpt.
  2. Manglende DNSSEC-signaturer: missing.domainname-dnssec.com – Mislykkes hvis DNSSEC-signaturer mangler.
  3. Ikke-responsiv DNS-server: blackhole.domainname-dnssec.com – Mislykkes hvis en DNSSEC-valideringskjede fører til en ikke-responsiv server.
  4. SERVFAIL-svar: servfail.domainname-dnssec.com – Mislykkes hvis DNS-serveren svarer med SERVFAIL.
  5. NEKTE Svar: refused.domainname-dnssec.com – Mislykkes hvis DNS-serveren svarer med REFUSED.

Sikkerhetskontroller

  1. XSS-sårbarhet: xss.domainname.com – Mislykkes hvis problem-egenskapen inneholder HTML eller JavaScript, testing mot XSS-sårbarheter.

Spesielle og informative tester

Disse testene er relevante i spesifikke scenarier, for eksempel automatiske SAN-kontroller (Subject Alternative Name) eller visse DNS-aliasing-scenarier. Denne suiten sikrer at CA-er er i samsvar med grunnkravene, spesielt ved ikke å utstede sertifikater der CAA-restriksjoner gjelder.

Slik løser du CAA-sjekkfeil

Bruk disse trinnene og verktøyene for å løse CAA-sjekkfeil:
  1. Gjennomgå CAA Records: Bekreft at CAA-postene dine eksplisitt tillater sertifiseringsmyndigheten som utsteder:  
    1. problemet "ssl.com" for domenet 
    2. issuewild "ssl.com" for jokertegnsertifikater
  2. Bruk gravekommandoen: Dette er et allsidig nettverksverktøy som brukes til å samhandle med DNS-navneservere. Den utfører DNS-spørringer og presenterer svarene fra serverne den spør etter, noe som gjør den til et uvurderlig verktøy for å diagnostisere og løse problemer knyttet til DNS. for eksempel: dig @1.1.1.1 domain.com CAA. det skal vises status: NOERROR
    1. Bruke dig-kommandoen for underdomener: For å løse CAA-sjekkfeil for underdomener som sub2.sub1.example.com ved å bruke grave kommando, sørg for følgende: The grave CAA-kommandoen må returneres NXDOMAIN or FEIL hvis det ikke eksisterer noen CAA-post, og dette bør verifiseres for hvert nivå i domenehierarkiet—begynner med det fullstendige domenenavnet (FQDN) sub2.sub1.example.com, for så å gå opp til sub1.example.com, og til slutt på toppdomene eksempel.com. Verifiseringsprosessen vil fortsette å gå opp til toppdomenet til den finner en CAA-post.
      Merk: Gjeldende oppførsel for CAA-poster med CNAME-er er at hvis du ber om et sertifikat for  a.domain.com og det er en cname-rekord for sub.sub.anotherdomain.com da vil CAA-sjekken også sjekke opp til rotdomenet til annetdomene.com for en CAA-rekord.
  3. Bruk Oracles delv verktøy: delv er utviklet for å feilsøke DNS-spørringer og validere svar ved hjelp av DNSSEC, og etterligne oppførselen til en DNS-server konfigurert for validering og videresending. Den sender spørringer til en spesifisert server, inkludert de for DNSKEY- og DS-poster, for å etablere tillitskjeder uten å utføre iterativ oppløsning. Verktøyet gir ulike spørringsalternativer, for eksempel logging av oppløsningshentinger (+[no]rtrace), svardetaljer (+[no]mtrace), og valideringsprosesser (+[no]vtrace).
  4. Sjekk DNSSEC-innstillinger: Verktøy som DNSViz or Verisign DNSSEC Analyzer kan hjelpe med å validere DNSSEC-oppsettet ditt.
  5. Rådfør deg med DNS-leverandøren din: For DNSSEC-relaterte feil kan DNS-leverandøren din hjelpe med å løse DNSSEC-signaturer eller konfigurasjonsproblemer.

Flere referanser 

For en praktisk titt på disse scenariene, besøk https://caatestsuite.com/.    

Relaterte SSL.com-veiledninger

Trenger du å konfigurere CAA for å autorisere SSL.com til å utstede sertifikater for domenet ditt? Vær så snill gå gjennom denne artikkelen.
Twitter
Facebook
Linkedin
Reddit
Epost

SSL-støtteteam

Alle innlegg »

Hold deg informert og sikker

SSL.com er en global leder innen cybersikkerhet, PKI og digitale sertifikater. Registrer deg for å motta de siste bransjenyhetene, tipsene og produktkunngjøringene fra SSL.com.

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.

Ta undersøkelsen