Днс каа что это такое
Обновлено: 21.11.2024
Запись авторизации центра сертификации (CAA) используется для указания, какие центры сертификации (CA) могут выдавать сертификаты для домена.
Записи CAA позволяют владельцам доменов указывать, каким центрам сертификации разрешено выдавать сертификаты для домена. Они также предоставляют средства указания правил уведомления в случае, если кто-то запрашивает сертификат у неавторизованного центра сертификации. Если запись CAA отсутствует, любому CA разрешено выдавать сертификат для домена. Если присутствует запись CAA, только центры сертификации, указанные в записи (записях), могут выдавать сертификаты для этого имени хоста.
Запись DNS CAA указана в RFC 6844.
Формат записи CAA
Структура записи CAA соответствует стандартному определению формата верхнего уровня, определенному в RFC 1035. Раздел RDATA состоит из следующих элементов:
Элемент | Описание |
---|---|
флаг | целое число без знака в диапазоне от 0 до 255. | tr>
В настоящее время используется для представления флага critical, который имеет особое значение согласно RFC. | |
тег | Строка ASCII, представляющая идентификатор свойства, представленного записью. |
значение | Значение, связанное с тегом. | tr>
Запись CAA состоит из байта флагов и пары "тег-значение", называемой "свойством". Несколько свойств могут быть связаны с одним и тем же доменным именем путем публикации нескольких записей CAA RR для этого доменного имени.
Каноническое представление:
В настоящее время RFC определяет три доступных тега:
- issue : явно разрешает одному центру сертификации выдавать сертификат (любого типа) для имени хоста.
- issuewild : явно разрешает одному центру сертификации выдавать групповой сертификат (и только групповой) для имени хоста.
- iodef : указывает URL-адрес, по которому центр сертификации может сообщать о нарушениях политики.
Тегиissuewild имеют приоритет над тегами задач, если они указаны. При наличии одной записи CAA с тегом issuewild, независимо от ее значения, запросы на подстановочные сертификаты будут отклонены, если только для этого ЦС и запрошенного имени хоста не существует конкретной записи CAA с тегом issuewild.
В DNSimple запись CAA представлена следующими настраиваемыми элементами:
Элемент | Описание |
---|---|
Имя | Имя хоста для записи без имени домена. Обычно это называется «поддомен». Мы автоматически добавляем доменное имя. |
TTL | Время- жить за секунды. Это время, в течение которого запись может кэшироваться преобразователем. |
Тег | Строка ASCII, представляющая идентификатор свойства, представленного записью. |
Value | Значение, связанное с тегом. |
Мы не разрешаем настройку битового флага.
Использование записи CAA
Чтобы разрешить и Let’s Encrypt, и Sectigo, добавьте 2 записи CAA, по одной для каждого CA:
Чтобы разрешить Let’s Encrypt и Sectigo только для подстановочных знаков, используйте issuewild :
Наличие issuewild переопределяет проблему . Let’s Encrypt не разрешено выдавать подстановочные сертификаты.
Чтобы получать уведомления о нарушениях политики, добавьте запись с тегом iodef, содержащую адрес электронной почты для уведомления:
Записи наследуются дочерними именами хостов, которые являются ответвлениями родительского имени хоста. Давайте рассмотрим пример конфигурации субдомена:
Запрос записей CAA
Запись CAA — это относительно новая запись ресурса (RR), и не все инструменты поддерживают ее. Ярким примером является dig — он не поддерживает стандартный синтаксис запроса записей CAA. Чтобы запросить запись CAA для домена с помощью dig , необходимо напрямую указать тип RR (257).
dig также не поддерживает наследование CAA, и результатом запроса является запись в двоичном коде (хотя в более новых версиях dig присутствует поддержка анализа данных записи).
Чтобы протестировать разработку нашей реализации CAA, мы разработали простую утилиту под названием dnscaa . Это пакет Go, который позволяет получать записи CAA и поставляется с удобным интерфейсом командной строки.
Управление записями CAA
В редакторе записей DNSimple вы можете добавлять, удалять и обновлять записи CAA.
Получить помощь от разработчиков
Все в DNSimple любят писать документы для поддержки.
Мы также любим отвечать на ваши электронные письма.
Запись авторизации центра сертификации (CAA) используется для указания, какие центры сертификации (CA) могут выдавать сертификаты для домена.
Записи CAA позволяют владельцам доменов указывать, каким центрам сертификации разрешено выдавать сертификаты для домена. Они также предоставляют средства указания правил уведомления в случае, если кто-то запрашивает сертификат у неавторизованного центра сертификации. Если запись CAA отсутствует, любому CA разрешено выдавать сертификат для домена. Если присутствует запись CAA, только центры сертификации, указанные в записи (записях), могут выдавать сертификаты для этого имени хоста.
Запись DNS CAA указана в RFC 6844.
Формат записи CAA
Структура записи CAA соответствует стандартному определению формата верхнего уровня, определенному в RFC 1035. Раздел RDATA состоит из следующих элементов:
Элемент | Описание |
---|---|
флаг | целое число без знака в диапазоне от 0 до 255. | tr>
В настоящее время используется для представления флага critical, который имеет особое значение согласно RFC. | |
тег | Строка ASCII, представляющая идентификатор свойства, представленного записью. |
значение | Значение, связанное с тегом. | tr>
Запись CAA состоит из байта флагов и пары "тег-значение", называемой "свойством". Несколько свойств могут быть связаны с одним и тем же доменным именем путем публикации нескольких записей CAA RR для этого доменного имени.
Каноническое представление:
В настоящее время RFC определяет три доступных тега:
- issue : явно разрешает одному центру сертификации выдавать сертификат (любого типа) для имени хоста.
- issuewild : явно разрешает одному центру сертификации выдавать групповой сертификат (и только групповой) для имени хоста.
- iodef : указывает URL-адрес, по которому центр сертификации может сообщать о нарушениях политики.
Тегиissuewild имеют приоритет над тегами задач, если они указаны. При наличии одной записи CAA с тегом issuewild, независимо от ее значения, запросы на подстановочные сертификаты будут отклонены, если только для этого ЦС и запрошенного имени хоста не существует конкретной записи CAA с тегом issuewild.
В DNSimple запись CAA представлена следующими настраиваемыми элементами:
Элемент | Описание |
---|---|
Имя | Имя хоста для записи без имени домена. Обычно это называется «поддомен». Мы автоматически добавляем доменное имя. |
TTL | Время- жить за секунды. Это время, в течение которого запись может кэшироваться преобразователем. |
Тег | Строка ASCII, представляющая идентификатор свойства, представленного записью. |
Value | Значение, связанное с тегом. |
Мы не разрешаем настройку битового флага.
Использование записи CAA
Чтобы разрешить и Let’s Encrypt, и Sectigo, добавьте 2 записи CAA, по одной для каждого CA:
Чтобы разрешить Let’s Encrypt и Sectigo только для подстановочных знаков, используйте issuewild :
Наличие issuewild переопределяет проблему . Let’s Encrypt не разрешено выдавать подстановочные сертификаты.
Чтобы получать уведомления о нарушениях политики, добавьте запись с тегом iodef, содержащую адрес электронной почты для уведомления:
Записи наследуются дочерними именами хостов, которые являются ответвлениями родительского имени хоста. Давайте рассмотрим пример конфигурации субдомена:
Запрос записей CAA
Запись CAA — это относительно новая запись ресурса (RR), и не все инструменты поддерживают ее. Ярким примером является dig — он не поддерживает стандартный синтаксис запроса записей CAA. Чтобы запросить запись CAA для домена с помощью dig , необходимо напрямую указать тип RR (257).
dig также не поддерживает наследование CAA, и результатом запроса является запись в двоичном коде (хотя в более новых версиях dig присутствует поддержка анализа данных записи).
Чтобы протестировать разработку нашей реализации CAA, мы разработали простую утилиту под названием dnscaa .Это пакет Go, который позволяет получать записи CAA и поставляется с удобным интерфейсом командной строки.
Управление записями CAA
В редакторе записей DNSimple вы можете добавлять, удалять и обновлять записи CAA.
Получить помощь от разработчиков
Все в DNSimple любят писать документы для поддержки.
Мы также любим отвечать на ваши электронные письма.
CAA — это тип записи DNS, который позволяет владельцам сайтов указывать, какие центры сертификации (ЦС) могут выдавать сертификаты, содержащие их доменные имена. Он был стандартизирован в 2013 году RFC 6844, чтобы позволить ЦС «уменьшить риск непреднамеренной неправильной выдачи сертификата». По умолчанию каждому общедоступному ЦС разрешено выдавать сертификаты для любого доменного имени в общедоступной DNS при условии, что они подтверждают контроль над этим доменным именем. Это означает, что если в каком-либо из процессов проверки общедоступных ЦС возникнет ошибка, это потенциально повлияет на каждое доменное имя. CAA позволяет владельцам доменов снизить этот риск.
Если вас не волнует CAA, вам, как правило, ничего не нужно делать (но см. ошибки CAA ниже). Если вы хотите использовать CAA для ограничения того, какие центры сертификации могут выдавать сертификаты для вашего домена, вам потребуется использовать поставщика DNS, который поддерживает настройку записей CAA. Проверьте страницу CAA SSLMate для получения списка таких поставщиков. Если ваш провайдер указан в списке, вы можете использовать Генератор записей CAA SSLMate для создания набора записей CAA со списком центров сертификации, которые вы хотите разрешить.
Куда поставить запись
В CAA RFC указано дополнительное поведение, называемое "лазание по дереву", которое требует, чтобы центры сертификации также проверяли родительские домены результата разрешения CNAME. Позже это дополнительное поведение было удалено из-за опечатки, поэтому Let’s Encrypt и другие центры сертификации не реализуют его.
Поскольку Let’s Encrypt проверяет записи CAA перед выпуском каждого сертификата, иногда мы получаем ошибки даже для доменов, в которых не установлены записи CAA. Когда мы получаем ошибку, невозможно определить, разрешено ли нам выдавать для затронутого домена, поскольку могут присутствовать записи CAA, которые запрещают выдачу, но не видны из-за ошибки.
Если вы получаете ошибки, связанные с CAA, попробуйте еще несколько раз в нашей промежуточной среде, чтобы увидеть, являются ли они временными или постоянными. Если они постоянны, вам нужно будет обратиться в службу поддержки с вашим провайдером DNS или сменить провайдера. Если вы не уверены, кто ваш DNS-провайдер, спросите у своего хостинг-провайдера.
Некоторые провайдеры DNS, не знакомые с CAA, сначала отвечают на отчеты о проблемах словами «Мы не поддерживаем записи CAA». Вашему провайдеру DNS не обязательно специально поддерживать записи CAA; ему нужно только ответить NOERROR для неизвестных типов запросов (включая CAA). Возврат других кодов операций, включая NOTIMP, для нераспознанных qtypes является нарушением RFC 1035 и должен быть исправлен.
Если вы не включили DNSSEC и получили SERVFAIL, второй наиболее вероятной причиной является то, что ваш авторитетный сервер имен вернул NOTIMP, что, как описано выше, является нарушением RFC 1035; вместо этого он должен вернуть NOERROR с пустым ответом. В этом случае отправьте сообщение об ошибке или запрос в службу поддержки своему поставщику DNS.
Наконец, ошибки SERVFAIL могут быть вызваны перебоями в работе ваших авторитетных серверов имен. Проверьте записи NS для ваших серверов имен и убедитесь, что каждый сервер доступен.
Иногда время ожидания запросов CAA истекает. То есть полномочный сервер имен вообще никогда не отвечает, даже после нескольких попыток. Чаще всего это происходит, когда перед вашим сервером имен неправильно настроен брандмауэр, который отбрасывает DNS-запросы с неизвестными типами qtype. Отправьте запрос в службу поддержки своему поставщику DNS и узнайте, настроен ли у него такой брандмауэр.
Let's Encrypt – это бесплатный, автоматизированный и открытый центр сертификации, предоставленный вам некоммерческой исследовательской группой Internet Security Research Group (ISRG).
548 Market St, PMB 57274, Сан-Франциско, Калифорния 94104-5401, США
Отправляйте всю почту или запросы по адресу:
Linux Foundation является зарегистрированным товарным знаком The Linux Foundation. Linux является зарегистрированным товарным знаком Линуса Торвальдса.
Invicti Web Application Security Scanner — единственное решение, обеспечивающее автоматическую проверку уязвимостей с помощью Proof-Based Scanning™.
Наша аудитория поддерживает Geekflare. Мы можем получать партнерские комиссионные за покупку ссылок на этом сайте.
Обеспечьте безопасность приложений правильно! Обнаружение, защита, мониторинг, ускорение и многое другое…
Используйте запись DNS CAA, чтобы разрешить CA выдавать сертификаты TLS.
Что такое DNS CAA?
CAA — это один из типов записей DNS, которые указывают CA, следует ли им выдавать сертификат или нет.Другими словами, вы сообщаете миру, кто должен выдавать SSL/TLS-сертификат вашего домена. Внедрение CAA стало обязательным в конце 2017 года, поэтому оно относительно новое, и его внедрили менее 5 % популярных сайтов.
Давайте рассмотрим пример: Geekflare владеет сайтом под названием «gf.dev», который имеет следующую запись CAA.
Глядя на приведенные выше результаты, я могу получить сертификат, выданный только DigiCert, Comodo и Let’s encrypt. Если я попрошу Thawte или другой ЦС выдать сертификат для gf.dev, они не смогут этого сделать. Кроме того, если вы обратите внимание, вы заметите, что у некоторых записей есть issue и у некоторых issuewild. Давайте узнаем, что они из себя представляют.
- issue – указание CA выдать сертификат только для этого домена.
- issuewild — ЦС может выдать групповой сертификат, чтобы его можно было использовать в домене или поддомене.
Запись CAA также поддерживает iodef (формат обмена описанием объекта инцидента), который позволяет CA отправлять отчет о нарушении на указанный адрес электронной почты или контактные данные.
Что произойдет, если запись CAA не будет найдена?
Если у домена нет записи CAA, любой может создать CSR для этого домена и получить сертификат, подписанный любым центром сертификации. Это угроза безопасности.
Теперь понятно?
Есть несколько сокращений, которые я использовал выше. Давайте посмотрим, что они из себя представляют.
- DNS — система доменных имен
- ЦС – центр сертификации
- CAA – авторизация центра сертификации.
- TLS — безопасность на транспортном уровне
- SSL — безопасный уровень сокетов
Как проверить запись DNS CAA?
Существует несколько способов проверки записи CAA. Если вы не хотите покидать свой терминал, вы можете проверить это с помощью команды dig.
Если вы хотите проверить это удаленно, вы можете использовать онлайн-инструмент DNS CAA Tester.
Как добавить запись CAA?
Технически это так же, как вы добавляете другие записи DNS, такие как A, NS, CNAME и т. д.
Если вы используете Cloudflare, перейдите на вкладку DNS >> добавьте запись и выберите тип CAA.
Для GoDaddy перейдите в раздел «Управление DNS» и добавьте запись
Если вы не знаете, как это добавить, обратитесь за помощью к своему поставщику услуг DNS/хостинга.
Заключение
Если это еще не сделано, вам следует воспользоваться записью CAA, чтобы добавить уровень безопасности домена. Добавление записи CAA бесплатно.
Читайте также: