Форум OlegON > Компьютеры и Программное обеспечение > Сеть

Для чего нужна DNS запись CAA

17.02.2020 17:17


22.01.2020 16:49
OlegON
 
Итак, есть сайт olegon.ru, для которого специальным центром выпущен сертификат, позволяющий шифровать трафик между браузером пользователя и сайтом. Т.е. браузер лезет на хост, видит сертификат доверенного центра и трафик шифруется. С разбегу видно узкое место: если каким-то образом обмануть другой центр и сказать, чтобы выпустил сертификат для olegon.ru, то можно притворяться olegon.ru сколько угодно.

Воздействовать на центр сертификации можно только обманом, поскольку достаточно одного случае выпуска сертификата "налево", как центр вылетит из списка доверенных, независимо от своего статуса, как это уже было с печально известным Symantec.

Как же предотвратить обман центра сертификации, заблокировав попытки темных личностей сделать вид, что olegon.ru их собственность и выписать себе сертификат? Очень просто. В записи CAA указывается, какой центр вправе выпускать сертификаты для этого домена.
Например, в моем любимом Hurricane Electric это делается просто, в панели редактирования зоны выбираете Additional - CAA, вписываете имя домена, срок кеширования записи и третьей строкой
Код:
128 issue "letsencrypt.org"
т.е. ограничивая выпуск сертификата только в Letsencrypt. Все остальные центры обязаны отказываться выпускать сертификаты для olegon.ru
В RAW-формате запись выглядит так
Код:
olegon.ru.	86400	IN	CAA	128 issue letsencrypt.org

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.