當前位置:
首頁 > 知識 > 防止域名證書劫持,阿里雲解析率先支持CAA

防止域名證書劫持,阿里雲解析率先支持CAA

知識 12-08


摘要: 2017年3月,CA瀏覽器論壇投票通過187號提案,要求CA機構從2017年9月8日起執行CAA強制性檢查。CAA標準使得網站所有者,僅授權指定CA機構為自己的域名頒發證書,以防止HTTPS證書錯誤簽發。

背景

2015年發生過一起著名的沃通誤簽發GitHub域名SSL證書事件,用戶在使用schrauger.github.com以及schrauger.github.io的個人子頁面許可權,獲取沃通信任後,成功拿到了github.com、github.io、www.github.io這幾個域名的證書。此時,如果把用戶的訪問流量劫持到本地伺服器,那麼瀏覽器就能訪問位於本地的偽造GitHub釣魚網站,HTTPS安全加密通信將沒有任何作用。

據權威部門統計,全球約有上百個證書頒發機構(CA)有權發放HTTPS證書,證明您網站的身份。但是證書頒發機構由於某些原因,往往會被瀏覽器列入"黑名單" ,並公開宣布將不再信任其簽發的https證書。所以當你訪問到部署了這些證書的網站時,部分瀏覽器比如谷歌、火狐會提示"https證書不受信任",瀏覽器地址欄的https也會被划上一條小紅線,網頁不能訪問,如圖所示。

防止域名證書劫持,阿里雲解析率先支持CAA

今年6月1日,《中華人民共和國網路安全法》正式實施,標誌著網路安全已得到國家的高度重視。其中,第二十一條規定,網路運營者有承擔採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施的義務。因此,迫切需要一項公共標準來授權域名所有者指定允許為其域名頒發HTTPS證書的機構。

CAA(Certification Authority Authorization,即證書頒發機構授權)是一項防止HTTPS證書錯誤簽發的安全措施,於2013年1月通過互聯網工程任務組(IETF)的批准列為RFC6844,2017年3月,CA瀏覽器論壇投票通過187號提案,要求CA機構從2017年9月8日起執行CAA強制性檢查。

CAA標準使得網站所有者,僅授權指定CA機構為自己的域名頒發證書,以防止HTTPS證書錯誤簽發。

為網站域名設置CAA記錄也成為了提高網站安全性的方法之一。

目前,阿里云云解析DNS作為國內最大的權威DNS服務商,已率先支持CAA記錄類型。那麼怎樣設置CAA記錄?CAA記錄具體表示什麼意思呢?


CAA格式

CAA記錄的格式為:[flag] [tag] [value],是由一個標誌位元組的[flag]和一個被稱為屬性的標籤[tag]-值[value]對組成,可以將多個CAA欄位添加到域名的DNS記錄中。

防止域名證書劫持,阿里雲解析率先支持CAA


CAA記錄示例

例如:我只允許midengd.xyz的證書是symantec.com頒發的,並且如果有違規通知我的郵箱admin@midengd.xyz。

登錄阿里云云解析控制台,添加如下兩條解析記錄,如圖所示:


@ 0 issue "symantec.com"

@ 0 iodef "mailto:admin@midengd.xyz"

防止域名證書劫持,阿里雲解析率先支持CAA


CAA記錄查詢

使用 「dig 域名 記錄類型」來進行查詢

sh-3.2# dig midengd.xyz caa

; <<>> DiG 9.10.5rc1 <<>> midengd.xyz caa

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26714

;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 4000

;; QUESTION SECTION:

;midengd.xyz. IN CAA

;; ANSWER SECTION:

midengd.xyz. 600 IN CAA 0 iodef "mailto:admin@midengd.xyz"

midengd.xyz. 600 IN CAA 0 issue "symantec.com"

;; Query time: 577 msec

;; SERVER: 30.26.8.5#53(30.26.8.5)

;; WHEN: Tue Dec 05 18:55:48 CST 2017

;; MSG SIZE rcvd: 114

未來發展前景

自今年4月份決定,所有CA機構頒發SSL證書前必須要求對頒發證書對象的域名進行CAA檢測以來,以將近8個月的時間。目前,海外Route53、dyn、Cloudflare等主要DNS服務商均已支持CAA記錄,但是國內的普及程度還沒有跟上步伐。

加強網路安全需要從一點一滴開始,不放過任何一個風險點才能不給不法分子有機可乘。隨著社會網路安全意識的整體提高,CAA記錄作為加強網站安全的措施之一,必將會成為金融機構、電子政務、公共服務等行業的一項網路安全基準要求,也會有越來越多的DNS服務商的支持CAA記錄,CAA普及也只是時間問題。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 雲棲社區 的精彩文章:

熱門技術看什麼?這份書單告訴你!
深度學習的核心:掌握訓練數據的方法
mac、iOS端支持自定義布局的collection控制項的實現與設計
IOT 賦能旅行場景的實踐與展望

TAG:雲棲社區 |