Zrozumienie błędów kontroli CAA i sposoby ich rozwiązywania

Wyświetl wszystkie przewodniki

Zakładka Podgląd

Rekordy autoryzacji urzędu certyfikacji (CAA) umożliwiają właścicielom domen określenie, które urzędy certyfikacji (CA) mogą wydawać TLS certyfikaty dla swoich domen.  CAA nakazuje, aby CA sprawdził(a) rekord(y) CAA domeny przed wydaniem certyfikatu. Podczas procesu sprawdzania CAA CA musi osiągnąć autorytatywny serwer nazw domen. Jeśli nie ma żadnych rekordów CAA, CA może kontynuować, jeśli spełnione są inne kryteria weryfikacji. Jednak jeśli istnieją rekordy CAA, CA może wydać certyfikat tylko wtedy, gdy jest to wyraźnie autoryzowane w jednym z tych rekordów.  W tym przewodniku opisano typowe błędy sprawdzania CAA, wyjaśniono, dlaczego się zdarzają i podano możliwe kroki, aby je rozwiązać. Zapewnienie prawidłowej konfiguracji CAA pomaga zabezpieczyć domenę i chroni przed nieautoryzowanym wydaniem certyfikatu.

Czym są niepowodzenia kontroli CAA?

Gdy kontrola CAA się nie powiedzie, oznacza to, że istnieją problemy z rekordami CAA lub powiązanymi ustawieniami DNS dla Twojej domeny, które uniemożliwiają SSL.com wydanie certyfikatu. Istnieją trzy główne kategorie niepowodzeń kontroli CAA:
  • Odmowa:Błędy związane z wyraźnymi rekordami CAA, które ograniczają wydawanie certyfikatów.
  • DNSSEC:Problemy wynikające z konfiguracji i odpowiedzi DNSSEC.
  • Bezpieczeństwo:Błędy spowodowane potencjalnymi lukami w zabezpieczeniach, takimi jak XSS.

Dowiedz się więcej o zaufanych certyfikatach SSL.com

Przyczyny niepowodzeń kontroli CAA

Odrzuć testy

  1. Pusty tag problemu: empty.basic.domainname.com – Nie działa, jeśli rekord CAA wynosi 0, wpisz „;”, co oznacza, że ​​nie jest dozwolony żaden CA.
  2. Wyraźne zaprzeczenie: Występuje, gdy rekord CAA wyraźnie nie zezwala na wydawanie dla issue lub issuewild. Jeśli rekord CAA jest obecny, musi zawierać issue „ssl.com” lub issuewild „ssl.com”.
  3. Rozróżnianie wielkości liter w tagu problemu: Znaczniki problemów zawierające wielkie litery (uppercase-deny.basic.domainname.com) lub mieszane litery (mixedcase-deny.basic.domainname.com) powodują błąd.
  4. Duży zestaw rekordów: big.basic.domainname.com – Nie powiedzie się, jeśli liczba rekordów CAA jest zbyt duża (np. 1001).
  5. Nieznane właściwości krytyczne: critical1.basic.domainname.com i critical2.basic.domainname.com – kończy się niepowodzeniem, jeśli istnieją nierozpoznane właściwości oznaczone jako krytyczne.
  6. Wspinaczka po drzewach: Nie działa, gdy rekordy CAA na poziomie nadrzędnym (sub1.deny.basic.domainname.com) lub nadrzędnym (sub2.sub1.deny.basic.domainname.com) ograniczają wydawanie.
  7. Łańcuchy CNAME: Nie działa, jeśli ograniczenia CAA istnieją w celach CNAME w łańcuchu CNAME, takich jak cname-deny.basic.domainname.com, cname-cname-deny.basic.domainname.com i sub1.cname-deny.basic.domainname.com. Obecne zachowanie rekordów CAA z CNAME jest takie, że jeśli zażądasz certyfikatu dla  a.domena.com i jest to rekord CNAME dla sub.sub.innadomena.com następnie kontrola CAA będzie również sprawdzać domenę główną innadomena.com dla rekordu CAA.
  8. Odmowa ponad pobłażliwym rodzicem: deny.permit.basic.domainname.com – Nie działa, jeśli dziecko ma ograniczenia, nawet jeśli rodzic zezwala na wydanie domeny.
  9. Serwery obsługujące wyłącznie protokół IPv6: ipv6only.domainname.com – nie powiedzie się, jeśli rekord CAA jest dostępny tylko przez IPv6, a urząd certyfikacji nie może go przetworzyć.

Awarie DNSSEC

  1. Wygasłe podpisy DNSSEC: expired.domainname-dnssec.com – Nie powiodło się, jeśli podpisy DNSSEC wygasły.
  2. Brakujące podpisy DNSSEC: missing.domainname-dnssec.com – Nie powiodło się, jeśli brakuje podpisów DNSSEC.
  3. Serwer DNS nie odpowiada: blackhole.domainname-dnssec.com – Niepowodzenie, jeśli łańcuch weryfikacji DNSSEC prowadzi do serwera, który nie odpowiada.
  4. Odpowiedź SERVFAIL: servfail.domainname-dnssec.com – kończy się niepowodzeniem, jeśli serwer DNS odpowiada SERVFAIL.
  5. ODMOWA Odpowiedź: denied.domainname-dnssec.com – Nie powiodło się, jeśli serwer DNS odpowiedział REFUSED.

Kontrole bezpieczeństwa

  1. Luka w zabezpieczeniach XSS: xss.domainname.com – nie spełnia wymagań, jeśli właściwość problemu zawiera kod HTML lub JavaScript, testowanie pod kątem luk XSS.

Testy specjalne i informacyjne

Testy te są istotne w określonych scenariuszach, takich jak automatyczne sprawdzanie SAN (alternatywnej nazwy podmiotu) lub niektóre scenariusze aliasów DNS. Ten pakiet zapewnia zgodność urzędów certyfikacji z wymogami podstawowymi, w szczególności w zakresie niewydawania certyfikatów tam, gdzie obowiązują ograniczenia CAA.

Jak rozwiązywać problemy z błędami kontroli CAA

Aby rozwiązać problemy z kontrolą CAA, skorzystaj z poniższych kroków i narzędzi:
  1. Przeglądaj zapisy CAA:Potwierdź, że Twoje rekordy CAA wyraźnie zezwalają Urzędowi Certyfikacji na bycie wystawcą:  
    1. wystaw „ssl.com” dla domeny 
    2. issuewild „ssl.com” dla certyfikatów wieloznacznych
  2. Użyj polecenia dig:To wszechstronne narzędzie sieciowe służące do interakcji z serwerami nazw DNS. Przeprowadza zapytania DNS i prezentuje odpowiedzi z serwerów, do których wysyła zapytania, co czyni je nieocenionym narzędziem do diagnozowania i rozwiązywania problemów związanych z DNS. na przykład: dig @1.1.1.1 domain.com CAA. powinno pokazać status:BEZBŁĘDU
    1. Używanie polecenia dig dla subdomen: Aby rozwiązać problemy z sprawdzaniem CAA dla subdomen, takich jak sub2.sub1.example.com, przy użyciu kopać polecenie, upewnij się, że: kopać Polecenie CAA musi zostać zwrócone NXDOMENA or BRAK BŁĘDU jeśli nie istnieje żaden rekord CAA, należy to zweryfikować dla każdego poziomu hierarchii domen — zaczynając od pełnej nazwy domeny (FQDN) sub2.sub1.example.com, następnie przechodząc do sub1.example.com i na końcu do domeny najwyższego poziomu example.com. Proces weryfikacji będzie przebiegał w górę do domeny najwyższego poziomu, aż znajdzie rekord CAA.
      Uwaga: Obecne zachowanie rekordów CAA z CNAME jest takie, że jeśli poprosisz o certyfikat dla  a.domena.com i jest to rekord CNAME dla sub.sub.innadomena.com następnie kontrola CAA będzie również sprawdzać domenę główną innadomena.com dla rekordu CAA.
  3. Użyj Oracle'a narzędzie delv: zagłębienie jest przeznaczony do rozwiązywania problemów z zapytaniami DNS i walidacji odpowiedzi przy użyciu DNSSEC, naśladując zachowanie serwera DNS skonfigurowanego do walidacji i przekazywania. Wysyła zapytania do określonego serwera, w tym te dotyczące rekordów DNSKEY i DS, w celu ustanowienia łańcuchów zaufania bez wykonywania iteracyjnego rozwiązywania. Narzędzie zapewnia różne opcje zapytań, takie jak rejestrowanie pobierania resolverów (+[no]rtrace), szczegóły odpowiedzi (+[no]mtrace) i procesów walidacyjnych (+[no]vtrace).
  4. Sprawdź ustawienia DNSSEC: Narzędzia takie jak DNSViz or Analizator DNSSEC firmy Verisign może pomóc w sprawdzeniu konfiguracji DNSSEC.
  5. Skonsultuj się ze swoim dostawcą DNS:W przypadku awarii związanych z protokołem DNSSEC dostawca usług DNS może pomóc w rozwiązaniu problemów z podpisami DNSSEC lub konfiguracją.

Dodatkowe odniesienia 

Aby zapoznać się z praktycznym spojrzeniem na te scenariusze, odwiedź stronę https://caatestsuite.com/.    

Powiązane przewodniki SSL.com

Chcesz skonfigurować urząd certyfikacji w celu autoryzacji SSL.com do wystawiania certyfikatów dla swojej domeny? Więc proszę przejrzyj ten artykuł.
Twitter
Facebook
LinkedIn
Reddit
E-mail

Zespół wsparcia SSL

Wszystkie posty "

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.

Wypełnij ankietę