- N +

正确设置DNS CAA记录提升HTTPS站点安全

  随着HTTPS的覆盖率越来越广,SSL证书的需求量也在上升。为了更加完善HTTPS加密协议的使用,2017年3月CA B论坛(一个全球证书颁发机构和浏览器的技术论坛)发起了一项关于对域名强制检查CAA的一项提案的投票,获得187票支持,投票有效,提议通过。

  CAA是保护域名免受钓鱼的安全措施,网站运营商可以通过该措施来保护域名免于错误发布。在2013年由RFC 6844进行了标准化,允许CA“降低意外证书错误的风险”。默认情况下,每个公共CA都可以为公共DNS中的任何域名颁发证书,只要它们验证对该证书的控制域名。这意味着,如果在许多公共CA的验证过程中有任何一个错误,每个域名都可能受到影响。CAA为域名持有者提供了降低风险的途径。

  而DNS Certification Authority Authorization(DNS证书颁发机构授权)是一项借助互联网的域名系统(DNS),使域持有人可以指定允许为其域签发证书的数字证书认证机构(CA)的技术。它会在 DNS 下发 IP 的同时,同时下发一条资源记录,标记该域名下使用的证书必须由某证书颁发机构颁发。

  需要当限制域名其子域名可由机构GlobalSign颁发不限类型的证书,同时也可由颁发证书通配符,其他一律禁止,并且当违反配置规则时,发送通知邮件到。

  那么,因子域策略优先,所以只有CA为可以域名alpha.example.com颁发证书。

  CAA记录是一个相对较新的资源记录,目前很多工具并不支持。以dig为例,不能适用其标准语法。若需要查询CAA记录,dig时需要直接指定RR类型(type257)。

  目前,国内大多数的DNS解析商均不支持CAA记录解析。但随着HTTPS逐步取代HTTP的趋势,使用SSL证书升级HTTPS的解决方案将被大量采纳。为了避免HTTPS证书的错误签发,相信不久的将来,CAA记录解析将被兼容。同时数安时代(CA)作为已通过WEBTRUSR国际认证的CA机构,将会坚持不断深入研发,为各大网络商业平台提供更安全的信息安全证书,为涉足互联网的企业打造更安全的生态环境,建立更具公信力的企业网站形象。

返回列表
上一篇:
下一篇:
评论列表 (暂无评论,共645人参与)

还没有评论,来说两句吧...

发表评论

验证码