通过新的CAA标准,HTTPS证书颁发更加安全
发布日期:2017-04-13CA浏览器论坛投票发布证书颁发机构授权(CAA)标准,SSL / TLS证书在颁发之前必须执行CAA强制性检查,作为防止HTTPS证书错误签发的安全措施。
CA浏览器论坛187号提案,100%的浏览器制造商和94%的CA认证机构投票同意,从2017年9月8日起执行CAA强制性检查。CAA代表证书颁发机构授权,是一项新的可以添加到DNS记录中的额外字段,已经通过互联网工程任务组(IETF)的批准列为RFC 6844。
CAA是最好的做法
CA浏览器论坛是监督HTTPS证书颁发操作的组织机构,根据其批准的新的CAA检查程序, CA必须检查客户申请证书的域名DNS记录中的CAA字段。域名所有者可以在CAA字段中留下指令,以防止钓鱼攻击者使用其域名申请SSL/TLS证书。例如:
domain.com. CAA 0 issue "wosign.com"
这个CAA字段告知证书颁发机构,只有wosign可以为该特定域名颁发证书。未经授权的第三方尝试通过其他CA注册获取用于该域名的SSL/TLS证书将被拒绝。
CAA字段可以用作警报
可以将多个CAA字段添加到域名的DNS记录中,例如,如果第三方尝试为一个未获得授权的域名申请证书,以下CAA字段会告诉CA向网站所有者发送一封邮件。这样的邮件表示有人正尝试为未经授权的网站申请HTTPS证书,网站所有者应该开始调查并深入检查该问题。
domain.com. CAA 0 iodef "mailto:admin@domain.com"
Iodef属性还支持URL端点,可以记录尝试在其他CA申请HTTPS证书的行为。
domain.com. CAA 0 iodef "http:// domain.com/fraud-log/"
如果站点使用多个子域,则CAA记录也可以限制钓鱼攻击者对其中任何一个域名申请HTTPS证书。
downloads. domain.com. CAA 0 issue "wosign.com"
news. domain.com. CAA 0 issue "certum.eu"
forum. domain.com. CAA 0 issue "startcom.org"
此外, CAA记录也可用于将通配符证书的颁发权限指定仅限一家CA。
domain.com. CAA 0 issuewild " wosign.com"
没有设置CAA字段可能带来混乱
CA浏览器论坛187号提案强制证书颁发机构在颁发新的HTTPS证书之前验证CAA DNS记录,但不强制域名所有者创建DNS记录。如果网站所有者没有为其网站DNS记录设置CAA详细信息,这就意味着任何CA都可以为其域名颁发证书。
因此,建议网站所有者在2017年9月8日之前,将CAA字段添加到DNS记录中,这样可以阻止钓鱼攻击者申请你的网站HTTPS证书,用来仿冒你的网站。
消息来源:bleepingcomputer 沃通翻译整理
相关资讯:
CA/B论坛最近投票批准了将CAA(证书颁发机构授权)作为其证书颁发标准的基本要求之一,这项措施将在2017年9月正式生效。
证书颁发机构授权(CAA)是一种可选的安全措施,网站运营商可以使用这些措施来保护其域名免于错误发布。它允许域所有者指定哪些证书颁发机构(CA)被允许为其网站颁发证书。
CA/B论坛第193号投票将对所有公开信任的SSL证书的最大生命周期设置新限制,新的证书有效期为825天——即2年有效期,包括更新和更换部分填充内置——将从2018年3月1日起生效。