DNS记录将有助于防止未经授权的SSL证书
Oracle建议突出Java对象终结器
三个Carbanak Cyber​​ Heist Gang成员被捕
网络犯罪组滥用Windows应用程序兼容性功能
Europol网络犯罪报告突出了对企业安全的新兴威胁
Shell矿山Microsoft Azure为AI进行数字转换上游和下游操作
消费者在连通性上花费更少的现金,但更多的时间在线
星巴克如何使用Splunk自动化平凡的安全任务
伴侣移动应用公开的现代汽车潜在劫持
PC制造商将在Q4中运送Windows 10混合现实耳机
Mingis关于Tech:能量微普林,苹果和无人机有什么关系!
填充区块链鸿沟
英国的平均技术工资&我达到80,000英镑
欧盟备份的DataceRe Consortium寻求行业帮助欧洲广泛的可持续发展推动
逐步删除ESN以开始于2019年初
怀疑CIA间谍工具与16个国家的黑客相关联
荷兰银行看到员工绩效管理重新思考的财务提升
地理空间委员会将500万英镑泵入位置数据的解锁价值
Facebook可能面临高达1.6亿美元的数据泄露
松弛让你更容易说出午餐
惠普扩大其3D打印机业务以供大众制造
Oracle被指控在云收入增长的来源中“误导”投资者
公共云呼吁IT工程师 - 他们的钱包
谷歌如何认真对待亚马逊的回声节目
将其工人解雇以提出歧视诉讼
Superdrug否认数据泄露
软件维护合同缺乏审查
Google文档网络钓鱼攻击强调OAuth安全风险
DDN通过TINTI的VM感知存储使企业推送
Devops研究人员闪耀着推出的推动,即外包采用软件开发人员的生产力
创作者更新说明:训练营问题和个人体验
阿里巴巴执行主席杰克马在2019年下降
俄罗斯人在美国收到最长的监狱句子
微软的关键窗口和办公室补丁呈现出存在的问题
SOS:宇航员可以通过拉链线快速休闲
亚马逊回声看:人们真的想要亚马逊相机吗?
数字经济竞争小组会议讨论法规
是的,Windows补丁是一团糟,但你仍然应该安装它们
BA赞扬SWIFT GDPR对准的数据违规行动
微软本月两次重新发行KB 3150513 Snooping补丁
澳大利亚政府机构试验安全云服务
Mimecast扩展了核心电子邮件安全性以启用网络弹性
Windows 10使用英寸Up-gul-gut android扩大
Veritas旨在通过简化的UI和设置提升NetBackup
微软收购了促进其Kubernetes Chops
研究发现,英国人关注无与伦比的支付安全性
苹果建立糖尿病传感器42200万原因
网络安全漏洞涉及飙升
家庭办公室菜肴超过100万英镑的警察技术项目
CIO采访:Niall Quinn,Technology Director,Crown商业服务
您的位置:首页 >电子新闻 >

DNS记录将有助于防止未经授权的SSL证书

2021-08-14 10:43:58 [来源]:

在几个月内,公开信任的证书机构必须开始宣传一个特殊的域名系统(DNS)记录,允许域名所有者指定允许为其域发出SSL证书的谁。

认证机构授权(CAA)DNS唱片于2013年成为标准,但没有大部分地区的影响,因为证书当局(CAS)没有符合符合他们的义务。

记录允许域所有者列出允许为该域发出SSL / TLS证书的CAS。这是为了限制未经授权的证书颁发的案件,如果CA受到损害或有流氓员工,则可能是偶然或故意的。

在CA /浏览器论坛创建的现有行业规则下,一个组合主要浏览器供应商和CAS的组织,证书机构必须验证SSL证书的请求来自域名自己或来自控制这些域的人员。

该所有权验证通常是自动化的,涉及询问域所有者以特定值创建DNS TXT记录,或者在其站点结构中的特定位置上传授权代码,从而证明它们对域的控制。

但是,攻击网站也可能会使攻击者能够通过此类验证并要求来自任何证书颁发机构的受损域的有效证书。此后可以使用此类证书来启动针对用户的中间人攻击,或将它们引导到网络钓鱼页面。

CAA记录背后的目标是限制谁可以为域发出证书。例如,Google“S CAA记录是:Google.com 86400在CAA 0问题”Symantec.com“。这意味着Google专门授权赛门铁克为其主域名发出证书。

3月份,加利福尼亚州论坛投票赞成CAA记录,作为证书颁发进程的一部分。这项要求将于9月8日生效,而且将履行这些记录的CAS将违反行业规则,并将制裁危险。

除了“问题”标签外,CAA记录还支持一个名为“Iodef”的标记,这也将是CAS遵守的。此标记允许域所有者指定电子邮件地址或URL,其中CA可以报告与域CAA策略冲突的证书颁发请求。

例如,如果一个CA接收到域X证书的请求,但是域X有一个CAA记录,该记录授权不同的CA才能发出证书,第一个芯片向CAA中指定的可疑请求或CAA中指定的URL。 Iodef属性。这将警告域名所有者在没有授权的情况下,其他人可能正在尝试获取证书。

“CAA不是银子弹,但它是我们辩护的另一层,”Scott Helme,Scott Helme,安全研究员和HTTPS部署专家在一个博客帖子中表示。“我们不必担心供应商锁定,因为只在发布点检查记录,并且它无法更简单地设置。真的没有什么可失去的。“

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。