DNS记录将有助于防止未经授权的SSL证书
在几个月内,公开信任的证书机构必须开始宣传一个特殊的域名系统(DNS)记录,允许域名所有者指定允许为其域发出SSL证书的谁。
认证机构授权(CAA)DNS唱片于2013年成为标准,但没有大部分地区的影响,因为证书当局(CAS)没有符合符合他们的义务。
记录允许域所有者列出允许为该域发出SSL / TLS证书的CAS。这是为了限制未经授权的证书颁发的案件,如果CA受到损害或有流氓员工,则可能是偶然或故意的。
在CA /浏览器论坛创建的现有行业规则下,一个组合主要浏览器供应商和CAS的组织,证书机构必须验证SSL证书的请求来自域名自己或来自控制这些域的人员。
该所有权验证通常是自动化的,涉及询问域所有者以特定值创建DNS TXT记录,或者在其站点结构中的特定位置上传授权代码,从而证明它们对域的控制。
但是,攻击网站也可能会使攻击者能够通过此类验证并要求来自任何证书颁发机构的受损域的有效证书。此后可以使用此类证书来启动针对用户的中间人攻击,或将它们引导到网络钓鱼页面。
CAA记录背后的目标是限制谁可以为域发出证书。例如,Google“S CAA记录是:Google.com 86400在CAA 0问题”Symantec.com“。这意味着Google专门授权赛门铁克为其主域名发出证书。
3月份,加利福尼亚州论坛投票赞成CAA记录,作为证书颁发进程的一部分。这项要求将于9月8日生效,而且将履行这些记录的CAS将违反行业规则,并将制裁危险。
除了“问题”标签外,CAA记录还支持一个名为“Iodef”的标记,这也将是CAS遵守的。此标记允许域所有者指定电子邮件地址或URL,其中CA可以报告与域CAA策略冲突的证书颁发请求。
例如,如果一个CA接收到域X证书的请求,但是域X有一个CAA记录,该记录授权不同的CA才能发出证书,第一个芯片向CAA中指定的可疑请求或CAA中指定的URL。 Iodef属性。这将警告域名所有者在没有授权的情况下,其他人可能正在尝试获取证书。
“CAA不是银子弹,但它是我们辩护的另一层,”Scott Helme,Scott Helme,安全研究员和HTTPS部署专家在一个博客帖子中表示。“我们不必担心供应商锁定,因为只在发布点检查记录,并且它无法更简单地设置。真的没有什么可失去的。“