Co to jest DNS CAA i jak sprawdzić poprawność i wdrożyć?

przez

Zabezpiecz swoją domenę za pomocą rekordu DNS CAA

Wykorzystaj rekord DNS CAA, aby precyzyjnie określić, które urzędy certyfikacji (CA) są upoważnione do wydawania certyfikatów TLS dla Twojej domeny.

Czym jest rekord DNS CAA?

Rekord CAA to specjalny rodzaj rekordu DNS, który informuje urzędy certyfikacji, czy mogą wydać certyfikat dla danej domeny. Mówiąc inaczej, za pomocą rekordu CAA określasz, które CA mogą wystawiać certyfikaty SSL/TLS dla Twojej domeny. Wprowadzenie CAA stało się obowiązkiem pod koniec 2017 roku, co czyni go stosunkowo nowym rozwiązaniem. Mimo to, mniej niż 5% popularnych stron internetowych zdecydowało się go wdrożyć.

Przykład: właściciel witryny o nazwie „gf.dev” z newsblog.pl posiada następujące rekordy CAA:

gf.dev.			3586	IN	CAA	0 issue "digicert.com; cansignhttpexchanges=yes"
gf.dev.			3586	IN	CAA	0 issuewild "comodoca.com"
gf.dev.			3586	IN	CAA	0 issue "comodoca.com"
gf.dev.			3586	IN	CAA	0 issuewild "digicert.com; cansignhttpexchanges=yes"
gf.dev.			3586	IN	CAA	0 issuewild "letsencrypt.org"
gf.dev.			3586	IN	CAA	0 issue "letsencrypt.org"

Z przedstawionych danych wynika, że certyfikat dla domeny gf.dev może zostać wydany wyłącznie przez DigiCert, Comodo oraz Let’s Encrypt. Jeżeli inny urząd certyfikacji, np. Thawte, otrzymałby wniosek o wydanie certyfikatu dla tej domeny, musiałby go odrzucić. Warto również zwrócić uwagę, że niektóre z tych wpisów dotyczą opcji „issue”, a inne „issuewild”. Wyjaśnijmy, co one oznaczają:

  • issue – pozwala danemu CA na wystawienie certyfikatu wyłącznie dla wskazanej domeny.
  • issuewild – umożliwia CA wystawienie certyfikatu typu wildcard, który może być używany zarówno dla domeny głównej, jak i jej subdomen.

Rekord CAA obsługuje również format iodef (Incident Object Description Exchange Format), który pozwala na przesyłanie przez CA raportów o wykrytych naruszeniach bezpieczeństwa na wskazany adres e-mail lub inny sposób kontaktu.

Co się dzieje, gdy brak rekordu CAA?

Jeśli dla danej domeny nie zdefiniowano rekordu CAA, każdy podmiot może wygenerować żądanie CSR i uzyskać certyfikat podpisany przez dowolny urząd certyfikacji. Stanowi to potencjalne zagrożenie dla bezpieczeństwa.

Czy to już zrozumiałe?

W tekście użyłem kilku skrótów. Poniżej ich wyjaśnienie:

  • DNS – System Nazw Domen
  • CA – Urząd Certyfikacji
  • CAA – Autoryzacja Urzędu Certyfikacji
  • TLS – Zabezpieczenia Warstwy Transportowej
  • SSL — Bezpieczna Warstwa Gniazda

Jak sprawdzić rekord DNS CAA?

Istnieje wiele sposobów na weryfikację rekordów CAA. Jeśli preferujesz pracę w terminalu, możesz użyć polecenia dig.

dig caa $TWOJASTRONA.COM

Przykład dla domeny newsblog.pl.com:

user@komputer:~# dig caa newsblog.pl.com

; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> caa newsblog.pl.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54430
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;newsblog.pl.com.			IN	CAA

;; ANSWER SECTION:
newsblog.pl.com.		3600	IN	CAA	0 issuewild "comodoca.com"
newsblog.pl.com.		3600	IN	CAA	0 issuewild "letsencrypt.org"
newsblog.pl.com.		3600	IN	CAA	0 issue "comodoca.com"
newsblog.pl.com.		3600	IN	CAA	0 issue "digicert.com; cansignhttpexchanges=yes"
newsblog.pl.com.		3600	IN	CAA	0 issue "letsencrypt.org"
newsblog.pl.com.		3600	IN	CAA	0 issuewild "digicert.com; cansignhttpexchanges=yes"

;; Query time: 7 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Tue Oct 08 07:12:21 UTC 2019
;; MSG SIZE  rcvd: 298

user@komputer:~#

Możesz również skorzystać z narzędzia online do testowania DNS CAA.

Jak dodać rekord CAA?

Dodawanie rekordu CAA jest analogiczne do dodawania innych rekordów DNS, takich jak A, NS czy CNAME.

W Cloudflare przejdź do sekcji DNS, a następnie dodaj nowy rekord, wybierając typ CAA.

W przypadku GoDaddy, w panelu zarządzania DNS dodaj nowy rekord.

Jeżeli nie jesteś pewien, jak dodać rekord CAA, skontaktuj się z administratorem Twojego serwera DNS lub hostingodawcą, aby uzyskać pomoc.

Podsumowanie

Jeśli jeszcze nie ustawiłeś rekordu CAA dla swojej domeny, powinieneś to zrobić, aby zwiększyć jej bezpieczeństwo. Dodanie rekordu CAA nic nie kosztuje.

Podobał Ci się ten artykuł? Zachęcamy do udostępniania go dalej!


newsblog.pl

Inne artykuły:

  1. Jak sprawdzić poprawność nawiasów w Pythonie?
  2. Jak uzyskać ochronę prywatności DNS w systemie Linux za pomocą DNS przez TLS
  3. 5 narzędzi online do sprawdzania rekordów DNS – [Best DNS Checkers]
  4. Co to jest Monkey Patching i jak go wdrożyć