Wprowadzenie do autoryzacji urzędu certyfikacji (CAA)

Dlaczego warto korzystać z CAA?

Urząd certyfikacji zawsze stosuje metody walidacja domeny aby upewnić się, że każdy SSL /TLS żądanie certyfikatu jest autoryzowane (zwykle przez upewnienie się, że jest w jakiś sposób połączone z określoną witryną korzystającą z tej domeny).

Na przykład urząd certyfikacji może udostępnić żądającemu specjalny plik weryfikacyjny. Umieszczenie tego pliku na stronie internetowej świadczy o tym, że żądający kontroluje również tę witrynę, ale nie może tego zagwarantować prawowitość tej kontroli. Haker, który przejmie kontrolę nad witryną, może podszywać się pod prawowitego właściciela, a następnie może zażądać i otrzymać certyfikat SSL /TLS certyfikat, który przeszedł standardowe testy CA, a tym samym wydaje prawowity. Mogą wtedy zawrócić i użyć tego SSL /TLS zaświadczenie o złośliwości na tej stronie lub w innym miejscu.

CAA pomaga blokować tego rodzaju exploity, definiując, które urzędy certyfikacji mogą wydawać certyfikaty dla domeny (lub nawet całkowicie ograniczając wydawanie certyfikatów). Ogranicza to szkody, jakie może wyrządzić porywacz - nawet jeśli mają kontrolę nad witryną, będą mieli drastycznie mniej opcji, aby zdobyć fałszywy certyfikat SSL /TLS certyfikat.

Jak działa CAA

CAA korzysta z DNS

Połączenia Domain Name System (DNS) jest kluczową częścią infrastruktury Internetu. Właściciel dowolnej domeny utrzymuje rekordy DNS (w ramach tzw pliki strefy), wskazując nazwę swojej domeny na adres IP, na którym hostowana jest ich witryna, i pozwala nam pisać google.com do okna przeglądarki zamiast 216.58.194.46.

Rekordy DNS są powszechnie używane jako „książka telefoniczna w Internecie”, ale DNS dopuszcza również inne typy rekordów specjalnych, które mogą przypisywać inne informacje do nazwy domeny.

Rekordy CAA

CAA używa specjalnego rodzaju rekordu o nazwie a Rekord zasobu autoryzacji urzędu certyfikacji (Rekord CAA). Są one publikowane za pomocą DNS, a właściciel domeny po prostu dodaje rekordy CAA wraz ze swoimi innymi rekordami DNS. Rekord CAA obejmuje etykieta oraz wartość, a para tag-wartość jest określana jako własność. Istnieje również flaga wskazując, jak krytyczna jest ta właściwość. Oto jak wygląda:

przyklad.com. Problem CAA 0 „ssl.com”

Tutaj, example.com to domena, której dotyczy ten rekord, a CAA informuje nas, jaki to rodzaj rekordu. The 0 to flaga (wartość domyślna to zero - omówimy to poniżej). Tag jest problem a wartość (w cudzysłowie) to ssl.com, które razem składają się na właściwość.

Flagi

Flagi mają obecnie tylko dwa ściśle określone stany: 0 (niekrytyczne) i 1 (krytyczny). Flaga krytyczna informuje o tym urząd certyfikacji musi całkowicie zrozumieć tag nieruchomości, aby kontynuować. RFC 6844 pozostawia inne możliwości użycia flag zdefiniowanych przez użytkownika (omówimy je również poniżej).

Tagi

RFC 6844 definiuje użycie trzech wspólnych tagów: problem, problem i Jodef. (Podobnie jak w przypadku flag, pozwala na inne potencjalne niestandardowe typy tagów).

Połączenia problem etykieta

Połączenia problem znacznik określa, który (jeśli w ogóle) urząd certyfikacji jest upoważniony do wydawania certyfikatów dla tej domeny. Na przykład właściciel domeny example.com może ograniczyć wystawianie certyfikatów do jednego urzędu certyfikacji (tutaj, SSL.com) przy użyciu następującego pliku strefy DNS:

example.com. Problem z CAA 0 „ssl.com”

Właściciel domeny może skonfigurować wiele plików strefy dla domeny:

example.com. Numer CAA 0 „ssl.com” example.com. Numer CAA 0 „comodoca.com”

Powyższe rekordy ograniczają SSL /TLS wydanie certyfikatu dla example.com do dwóch urzędów certyfikacji (SSL.com i Comodo.com).

Połączenia problem record upoważnia również wymieniony urząd certyfikacji do wydawania certyfikatów dla dowolnej poddomeny określonej domeny. Rekord zezwalający na SSL.com może zatem pozwalać na wydawanie certyfikatów example.com i subdomeny jak www.example.com, mail.example.com a nawet specjalna subdomena z symbolami wieloznacznymi * .example.com.

Można użyć rekordu CAA ograniczać wystawianie certyfikatu także - ten rekord informuje o tym urzędy certyfikacji korzystające z CAA Nie SSL /TLS powinny być wydawane certyfikaty example.com i poddomeny według każdy CA:

example.com. Problem z CAA 0 ";"

(W tym przykładzie średnik oznacza „nie zezwalaj na nic tutaj”, Ale jak pokażemy później, jest również używany do definiowania parametrów niestandardowych).

Zwróć uwagę, że standardowy tag wydania umożliwia urzędowi certyfikacji wystawienie certyfikatu dla symbolu wieloznacznego, chyba że zostanie zmodyfikowany przez…

Połączenia problem etykieta

Ten tag wskazuje, że CA jest upoważniony do wydawania certyfikatów typu wildcard dla domeny właściciela (tj * .example.com).

Symbole wieloznaczne to szczególny rodzaj subdomeny typu catch-all, dlatego przy wydawaniu certyfikatów typu wildcard należy zachować szczególną ostrożność i uwagę. The problem Tag pozwala właścicielowi domeny zdefiniować, jakie urzędy certyfikacji mogą wydawać certyfikaty dla symboli wieloznacznych niezależnie od domeny głównej lub innych poddomen. problem tagi mają pierwszeństwo przed dowolnymi problem tagi. Używają tej samej składni, co problem etykietka. Kilka przykładów:

example.com. CAA 0 problem „ssl.com” example.com. CAA 0 issuewild ";"

Powyższe umożliwia SSL.com wystawianie certyfikatów example.com i wszystkie subdomeny z wyjątkiem dla symbolu wieloznacznego * .example.com. (Ani SSL.com, ani żaden inny urząd certyfikacji nie może wydawać certyfikatów wieloznacznych dla example.com.)

example.com. Problem z CAA 0 ";" example.com. CAA 0 issuewild „ssl.com”

Ten przykład zabrania cała kolekcja Urzędy certyfikacji do wydawania certyfikatów example.com i jego poddomeny, ale tworzy wyjątek, aby zezwolić SSL.com na wydawanie certyfikatów wieloznacznych (i tylko symbole wieloznaczne) dla example.com.

Połączenia Jodef etykieta

Trzecim zdefiniowanym znacznikiem jest Jodef. Tego tagu można użyć do zgłaszania nieprawidłowych żądań certyfikatu właścicielowi domeny i wyglądają one tak:

example.com. CAA 0 iodef „mailto: certissues@example.com” example.com. CAA 0 iodef „certissues.example.com”

Najwyższy rekord zawiera informacje CA potrzebne do wysłania powiadomienia e-mail na adres certyfikaty@example.com. Drugi nakazuje urzędowi certyfikacji opublikowanie komunikatu o incydencie w serwisie internetowym (skonfigurowanym w tym celu przez właściciela domeny) pod adresem certyfikaty.example.com. (Można użyć jednej lub obu tych metod, w zależności od tego, w jaki sposób urząd certyfikacji i właściciel domeny skonfigurowali swoje operacje).

Jodef wiadomości wysyłane są w standardowym formacie zwanym Incydent Obiekt Opis Format wymiany lub IODEF - stąd nazwa. (IODEF jest zdefiniowany w RFC 6546.)

Flagi i znaczniki zdefiniowane przez CA

CAA zgodnie z opisem w RFC 6844 definiuje tylko dwa stany flagi (0 i 1) i trzy tagi (problem, problem i Jodef). Pozostawia jednak projekt wystarczająco otwarty, aby urzędy certyfikacji mogły tworzyć i wykorzystywać niestandardowe znaczniki i flagi do definiowania procesu wydawania certyfikatów. Przykładami mogą być:

example.com. Problem z CAA 0 „SSL.com; policy = ev”

Ten rekord wykorzystuje standard problem tag z dodatkowym parametrem, który instruuje urząd certyfikacji, aby używał ich zasad rozszerzonej walidacji (EV) podczas wystawiania certyfikatu dla tej domeny.

example.com. CAA 128 pca "PCA = 12345"

Właściciel domeny może użyć tego rekordu z nowym, zdefiniowanym przez urząd certyfikacji pca tag, aby pokazać, że mają Konto Preferowanego Klienta i ustawia numer konta jako parametr. (Flaga może mieć również wartość niestandardową do 255). W zależności od sposobu skonfigurowania konta przez CA może to pozwolić na określone metody fakturowania, dodatkową weryfikację zdefiniowaną na koncie lub inną specjalną obsługę.

Plusy i minusy

Plusy…

Jest kilka doskonałych powodów, dla których warto używać CAA. Główną i najważniejszą zaletą jest zdolność CAA do znacznego zmniejszenia ryzyka błędnego wystawienia certyfikatu. Pomaga to chronić Twoją domenę, firmę i tożsamość online. Potencjalni napastnicy, którzy mogli znaleźć błąd w oprogramowaniu określonego urzędu certyfikacji, nie mogą go wykorzystać do wystawienia certyfikatów SSL dla Twojej domeny. Ponadto użycie tagu iodef pozwala uzyskać raport w przypadku próby wykorzystania exploita.

Projekt CAA zwiększa bezpieczeństwo, ale może również pozwolić na bardziej szczegółową alokację zasobów - na przykład firma może skonfigurować rekordy, aby umożliwić (lub ograniczyć) dział sprzedaży i marketingu zakup certyfikatów SSL dla witryny sales.example.com z wyznaczonego źródła.

Ponadto CAA oferuje dużą elastyczność. W przypadku właściciela domeny wykorzystuje rekordy zasobów DNS, które znajdują się pod ich własną kontrolą i mogą być zmieniane w razie potrzeby, więc nie są powiązane z konkretnym urzędem certyfikacji (i może mieć więcej niż jeden urząd autoryzowany z rekordami problemów dla dowolnej nazwy domeny) . W przypadku urzędów certyfikacji, nawet poza niestandardowymi zastosowaniami, nowo przyjęte reguły przez forum CA / B (grupa, która ustanawia standardy bezpieczeństwa CA i przeglądarki) mogą pozwolić na wykorzystanie rekordów CAA do celów sprawdzania poprawności, co stanowi kolejny dobry powód do ich wykorzystania.

… I minusy

Największym problemem związanym z CAA jest to, że nie został on przyjęty przez wszystkie CA. Podstawowe wymagania forum CA / B (które spełniają wszystkie zaufane CA) instruują CA, aby określił stopień, w jakim wspiera CAA w swojej dokumentacji online. Jednak w chwili pisania tego tekstu użycie CAA jest tylko Zalecana, nie wymagane. Urzędy certyfikacji, które nie są zgodne z CAA, nadal mogą być celem, a dopóki CAA nie będzie w szerszym użyciu, porywacz prawdopodobnie będzie w stanie znaleźć niezgodny urząd certyfikacji chętny do wydania fałszywego certyfikatu.

Powiązaną wadą jest to, że nawet gdy istnieją rekordy CAA, użytkownik nie może egzekwować jego wykorzystanie przez urząd certyfikacji. Urząd certyfikacji musi być zgodny z RFC 6844, aby możliwe było zastosowanie tych rekordów, a niezgodny urząd certyfikacji może po prostu zignorować wyraźne życzenia właściciela domeny, zgodnie z deklaracjami zawartymi w ich rekordach CAA.

Urząd certyfikacji musi być również poprawnie skonfigurowany zarówno przez właściciela domeny, jak i przez urząd certyfikacji. Let's Encrypt (który obsługuje CAA) ostatnio zgłosił niewielki problem z bazą kodu co niestety doprowadziło do zignorowania reguł CAA i błędnego wydania sześciu certyfikatów. Żaden z nich nie stanowił złośliwego wyjątku (i pochwały dla zespołu Let's Encrypt za rozwiązanie i zgłoszenie problemu w ciągu kilku godzin od wykrycia). Jednak to podkreśla, że ​​zgodny z przepisami urząd certyfikacji musi wdrożyć CAA bezbłędnie.

Innym potencjalnym problemem jest zależność CAA od DNS. Jeśli właściciel domeny nie zabezpieczy swoich usług nazw, może to stanowić wektor ataku. RFC 6844 sugeruje implementację Rozszerzenia bezpieczeństwa systemu nazw domen (DNSSEC), który wykorzystuje cyfrowo podpisane rekordy DNS do uwierzytelniania danych i zwalczania zagrożenia fałszowaniem DNS.

Wreszcie, nawet jeśli CAA jest na miejscu i jest prawidłowo zaimplementowane, sam rekord CAA nie może całkowicie zapobiec wystawianiu fałszywych certyfikatów. Chociaż CAA jest użytecznym i ważnym narzędziem ograniczającym opcje napastnika, porywacz z wystarczającym dostępem (na przykład poprzez kontrolowanie DNS lub socjotechnikę) może być w stanie obejść go.

Wnioski

Autoryzacja urzędu certyfikacji ma ogromny potencjał w ramach szerszego ekosystemu bezpieczeństwa, a powszechne przyjęcie i wdrożenie CAA ochroni przed niewłaściwym wydawaniem certyfikatów. Chociaż niefortunne jest to, że nie wszystkie urzędy certyfikacji obsługują obecnie CAA, trwa dyskusja nad bardziej zdecydowanym lub obowiązkowym dla wszystkich urzędów certyfikacji. Chociaż sam CAA nie powstrzyma każdego błędnego wydania certyfikatu, jest to dobry krok we właściwym kierunku, a SSL.com chciałby zachęcić cię do rozważenia korzystania z akt CAA.

Referencje

Chcesz skonfigurować urząd certyfikacji w celu autoryzacji SSL.com do wystawiania certyfikatów dla swojej domeny? Więc proszę przejrzyj ten artykuł.
Dziękujemy za wybranie SSL.com! W razie jakichkolwiek pytań prosimy o kontakt mailowy pod adresem Support@SSL.com, połączenie 1-877-SSL-SECURElub po prostu kliknij link czatu w prawym dolnym rogu tej strony.

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.