DNS CAA
發表於 : 2017-05-16 22:53:53
https://bepsvpt.blog/2017/01/10/introdu ... o-dns-caa/
最近在將 VPS 從 DigitalOcean 轉移到 Linode 時,發現了 DNS CAA 這個規範,研究了以後,覺得應該是未來改善 https 安全性很有用的一個規範,因此想簡單的介紹一下。
在安全是一個越來越重要的議題下,大部分的網站都會使用 https 來確保使用者與網站之間資料的隱私與完整性,那麼,選擇了一個可靠的憑證機構是否就代表沒問題了?不盡然,Symantec 誤發 google.com 延伸認證 就是一個例子,除了請該憑證機構撤銷外,我們還可以採取什麼措施來保護自己的網站呢?DNS CAA 就是其中一個方法。
DNS CAA 是 DNS Certification Authority Authorization 的縮寫,定義在 RFC 6844 中,最主要的目的就是透過 DNS CAA Record 來確保該域名的憑證只能由指定的憑證機構發出,其格式為
<domain> CAA <flag> <tag> <value>
flag:Issuer Critical,目前支援 0 或 1
If set to ‘1’, indicates that the corresponding property tag MUST be understood if the semantics of the CAA record are to be correctly interpreted by an issuer.
tag 目前支援三種值,它們代表的意義如下
issue:該憑證機構可以發出該域名的憑證
issuewild:該憑證機構僅能發出該域名的 wildcard 憑證
iodef:當發生憑證機構不符時,需要回報的網址
value:憑證機構,如:letsencrypt.org
當域名不存在 record 中時,則會向上繼承,而如果子域名有 record 時,則會覆蓋,可參考範例一和二。
範例一:
example.com. CAA 0 issue “letsencrypt.org"
這代表 example.com 的憑證僅能由 letsencrypt.org 所發出
雖然 apple.example.com, banana.example.com 沒有在 record 中,但因為 example.com 有在 record 中,因此這兩個域名的憑證也僅能由 letsencrypt.org 發出
範例二:
example.com. CAA 0 issue “letsencrypt.org"
example.com. CAA 0 issue “comodo.com"
apple.example.com CAA 0 issue “symantec.com"
這代表 example.com 的憑證能由 letsencrypt.org 或 comodo.com 發出,banana.example, car.example.com 亦是,但 apple.example.com 僅能由 symantec.com 發出
範例三:
example.com. CAA 0 issue “letsencrypt.org"
example.com. CAA 0 issuewild “comodo.com"
example.com. CAA 0 iodef “http://iodef.example.com"
這代表 example.com 的憑證僅能由 letsencrypt.org,而 example.com 的 wildcard 憑證僅能由 comodo.com 發出,當發生不符時,則會回報給 http://iodef.example.com
以上就是幾個範例,並不會很複雜,希望對你有幫助,而介紹的部分也就告一個段落囉
最近在將 VPS 從 DigitalOcean 轉移到 Linode 時,發現了 DNS CAA 這個規範,研究了以後,覺得應該是未來改善 https 安全性很有用的一個規範,因此想簡單的介紹一下。
在安全是一個越來越重要的議題下,大部分的網站都會使用 https 來確保使用者與網站之間資料的隱私與完整性,那麼,選擇了一個可靠的憑證機構是否就代表沒問題了?不盡然,Symantec 誤發 google.com 延伸認證 就是一個例子,除了請該憑證機構撤銷外,我們還可以採取什麼措施來保護自己的網站呢?DNS CAA 就是其中一個方法。
DNS CAA 是 DNS Certification Authority Authorization 的縮寫,定義在 RFC 6844 中,最主要的目的就是透過 DNS CAA Record 來確保該域名的憑證只能由指定的憑證機構發出,其格式為
<domain> CAA <flag> <tag> <value>
flag:Issuer Critical,目前支援 0 或 1
If set to ‘1’, indicates that the corresponding property tag MUST be understood if the semantics of the CAA record are to be correctly interpreted by an issuer.
tag 目前支援三種值,它們代表的意義如下
issue:該憑證機構可以發出該域名的憑證
issuewild:該憑證機構僅能發出該域名的 wildcard 憑證
iodef:當發生憑證機構不符時,需要回報的網址
value:憑證機構,如:letsencrypt.org
當域名不存在 record 中時,則會向上繼承,而如果子域名有 record 時,則會覆蓋,可參考範例一和二。
範例一:
example.com. CAA 0 issue “letsencrypt.org"
這代表 example.com 的憑證僅能由 letsencrypt.org 所發出
雖然 apple.example.com, banana.example.com 沒有在 record 中,但因為 example.com 有在 record 中,因此這兩個域名的憑證也僅能由 letsencrypt.org 發出
範例二:
example.com. CAA 0 issue “letsencrypt.org"
example.com. CAA 0 issue “comodo.com"
apple.example.com CAA 0 issue “symantec.com"
這代表 example.com 的憑證能由 letsencrypt.org 或 comodo.com 發出,banana.example, car.example.com 亦是,但 apple.example.com 僅能由 symantec.com 發出
範例三:
example.com. CAA 0 issue “letsencrypt.org"
example.com. CAA 0 issuewild “comodo.com"
example.com. CAA 0 iodef “http://iodef.example.com"
這代表 example.com 的憑證僅能由 letsencrypt.org,而 example.com 的 wildcard 憑證僅能由 comodo.com 發出,當發生不符時,則會回報給 http://iodef.example.com
以上就是幾個範例,並不會很複雜,希望對你有幫助,而介紹的部分也就告一個段落囉