公開(kāi)信任的證書(shū)頒發(fā)機(jī)構(gòu),將允許域所有者指定誰(shuí)允許為其域發(fā)布SSL證書(shū),開(kāi)始尊重特定的域名系統(tǒng)(DNS)記錄.
證書(shū)頒發(fā)機(jī)構(gòu)授權(quán)(CAA)DNS記錄在2013年成為標(biāo)準(zhǔn),但是在世界上沒(méi)有太多的影響力,因?yàn)樽C書(shū)頒發(fā)機(jī)構(gòu)(CA)沒(méi)有義務(wù)遵守這些規(guī)則。
該記錄允許域所有者,允許為該域發(fā)布SSL/TLS證書(shū)的CA。這樣做的原因是為了限制未經(jīng)授權(quán)的證書(shū)頒發(fā),如果CA被泄密或有破壞者,這可能是意外的或故意的。
根據(jù)由CA/瀏覽器論壇創(chuàng)建的現(xiàn)有行業(yè)規(guī)則,一個(gè)組合主要是瀏覽器供應(yīng)商和CA的組織,證書(shū)頒發(fā)機(jī)構(gòu)必須驗(yàn)證SSL證書(shū)請(qǐng)求源自域所有者本身或控制這些域的人員。
此所有權(quán)驗(yàn)證通常是自動(dòng)的,并且涉及要求域所有者創(chuàng)建具有特定值的DNSTXT記錄,或者在其站點(diǎn)結(jié)構(gòu)中的特定位置上傳授權(quán)碼,從而證明其對(duì)域的控制。
然而,黑客進(jìn)入網(wǎng)站也可能使攻擊者有能力通過(guò)此類驗(yàn)證,并從任何證書(shū)頒發(fā)機(jī)構(gòu)請(qǐng)求受侵害域的有效證書(shū)。這樣的證書(shū)可以稍后被用于對(duì)用戶發(fā)起中間人攻擊或?qū)⑵湟龑?dǎo)到網(wǎng)絡(luò)釣魚(yú)頁(yè)面。
CAA記錄背后的目標(biāo)是限制誰(shuí)可以為域頒發(fā)證書(shū)。例如,Google的CAA記錄是:google.com 86400 IN CAA 0 "symantec.com."。這意味著Google專門授權(quán)Symantec頒發(fā)其主域名證書(shū)。
CAA記錄還支持一個(gè)名為“iodef”的標(biāo)簽,CA也符合要求。此標(biāo)記允許域所有者指定電子郵件地址或URL,CA可以報(bào)告與域的CAA策略沖突的證書(shū)頒發(fā)請(qǐng)求。
例如,如果一個(gè)CA收到對(duì)域X的證書(shū)的請(qǐng)求,但域X具有授權(quán)不同的CA頒發(fā)證書(shū)的CAA記錄,則第一個(gè)CA將可疑請(qǐng)求報(bào)告發(fā)送給電子郵件地址或CAA中指定的URLiodef屬性。這將提醒域名所有者,其他人可能嘗試未經(jīng)授權(quán)獲得證書(shū)。
安全研究員和HTTPS部署專家ScottHelme在一篇博文中說(shuō):“CAA是我們防御的另一個(gè)層面。“我們不用擔(dān)心供應(yīng)商鎖定,因?yàn)橛涗浿荒茉诎l(fā)行時(shí)進(jìn)行檢查,設(shè)置起來(lái)不太簡(jiǎn)單,沒(méi)有什么可失去的。”
京公網(wǎng)安備 11010502049343號(hào)