防止域名證書劫持,阿里雲解析率先支持CAA
摘要: 2017年3月,CA瀏覽器論壇投票通過187號提案,要求CA機構從2017年9月8日起執行CAA強制性檢查。CAA標準使得網站所有者,僅授權指定CA機構為自己的域名頒發證書,以防止HTTPS證書錯誤簽發。
背景
2015年發生過一起著名的沃通誤簽發GitHub域名SSL證書事件,用戶在使用schrauger.github.com以及schrauger.github.io的個人子頁面許可權,獲取沃通信任後,成功拿到了github.com、github.io、www.github.io這幾個域名的證書。此時,如果把用戶的訪問流量劫持到本地伺服器,那麼瀏覽器就能訪問位於本地的偽造GitHub釣魚網站,HTTPS安全加密通信將沒有任何作用。
據權威部門統計,全球約有上百個證書頒發機構(CA)有權發放HTTPS證書,證明您網站的身份。但是證書頒發機構由於某些原因,往往會被瀏覽器列入"黑名單" ,並公開宣布將不再信任其簽發的https證書。所以當你訪問到部署了這些證書的網站時,部分瀏覽器比如谷歌、火狐會提示"https證書不受信任",瀏覽器地址欄的https也會被划上一條小紅線,網頁不能訪問,如圖所示。
今年6月1日,《中華人民共和國網路安全法》正式實施,標誌著網路安全已得到國家的高度重視。其中,第二十一條規定,網路運營者有承擔採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施的義務。因此,迫切需要一項公共標準來授權域名所有者指定允許為其域名頒發HTTPS證書的機構。
CAA(Certification Authority Authorization,即證書頒發機構授權)是一項防止HTTPS證書錯誤簽發的安全措施,於2013年1月通過互聯網工程任務組(IETF)的批准列為RFC6844,2017年3月,CA瀏覽器論壇投票通過187號提案,要求CA機構從2017年9月8日起執行CAA強制性檢查。
CAA標準使得網站所有者,僅授權指定CA機構為自己的域名頒發證書,以防止HTTPS證書錯誤簽發。
為網站域名設置CAA記錄也成為了提高網站安全性的方法之一。
目前,阿里云云解析DNS作為國內最大的權威DNS服務商,已率先支持CAA記錄類型。那麼怎樣設置CAA記錄?CAA記錄具體表示什麼意思呢?
CAA格式
CAA記錄的格式為:[flag] [tag] [value],是由一個標誌位元組的[flag]和一個被稱為屬性的標籤[tag]-值[value]對組成,可以將多個CAA欄位添加到域名的DNS記錄中。
CAA記錄示例
例如:我只允許midengd.xyz的證書是symantec.com頒發的,並且如果有違規通知我的郵箱admin@midengd.xyz。
登錄阿里云云解析控制台,添加如下兩條解析記錄,如圖所示:
@ 0 issue "symantec.com"
@ 0 iodef "mailto:admin@midengd.xyz"
CAA記錄查詢
使用 「dig 域名 記錄類型」來進行查詢
sh-3.2# dig midengd.xyz caa
; <<>> DiG 9.10.5rc1 <<>> midengd.xyz caa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26714
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;midengd.xyz. IN CAA
;; ANSWER SECTION:
midengd.xyz. 600 IN CAA 0 iodef "mailto:admin@midengd.xyz"
midengd.xyz. 600 IN CAA 0 issue "symantec.com"
;; Query time: 577 msec
;; SERVER: 30.26.8.5#53(30.26.8.5)
;; WHEN: Tue Dec 05 18:55:48 CST 2017
;; MSG SIZE rcvd: 114
未來發展前景
自今年4月份決定,所有CA機構頒發SSL證書前必須要求對頒發證書對象的域名進行CAA檢測以來,以將近8個月的時間。目前,海外Route53、dyn、Cloudflare等主要DNS服務商均已支持CAA記錄,但是國內的普及程度還沒有跟上步伐。
加強網路安全需要從一點一滴開始,不放過任何一個風險點才能不給不法分子有機可乘。隨著社會網路安全意識的整體提高,CAA記錄作為加強網站安全的措施之一,必將會成為金融機構、電子政務、公共服務等行業的一項網路安全基準要求,也會有越來越多的DNS服務商的支持CAA記錄,CAA普及也只是時間問題。
※熱門技術看什麼?這份書單告訴你!
※深度學習的核心:掌握訓練數據的方法
※mac、iOS端支持自定義布局的collection控制項的實現與設計
※IOT 賦能旅行場景的實踐與展望
TAG:雲棲社區 |