CA浏览器论坛投票发布证书颁发机构授权(CAA)标准,SSL / TLS证书在颁发之前必须执行CAA强制性检查,作为防止HTTPS证书错误签发的安全措施。
CA浏览器论坛187号提案,100%的浏览器制造商和94%的CA认证机构投票同意,从2017年9月8日起执行CAA强制性检查。CAA代表证书颁发机构授权,是一项新的可以添加到DNS记录中的额外字段,已经通过互联网工程任务组(IETF)的批准列为RFC 6844。
为什么需要CAA强制性检查
CA浏览器论坛是监督HTTPS证书颁发操作的组织机构,根据其批准的新的CAA检查程序,CA必须检查客户申请证书的域名DNS记录中的CAA字段。域名所有者可以在CAA字段中留下指令,以防止钓鱼攻击者使用其域名申请SSL/TLS证书。例如:
domain.com. CAA 0 issue "wosign.com"
这个CAA字段告知证书颁发机构,只有wosign可以为该特定域名颁发证书。未经授权的第三方尝试通过其他CA注册获取用于该域名的SSL/TLS证书将被拒绝。
如何设置CAA字段
可以将多个CAA字段添加到域名的DNS记录中,例如,如果第三方尝试为一个未获得授权的域名申请证书,以下CAA字段会告诉CA向网站所有者发送一封邮件。这样的邮件表示有人正尝试为未经授权的网站申请HTTPS证书,网站所有者应该开始调查并深入检查该问题。
domain.com. CAA 0 iodef "mailto:admin@domain.com"
Iodef属性还支持URL端点,可以记录尝试在其他CA申请HTTPS证书的行为。
domain.com. CAA 0 iodef "http:// domain.com/fraud-log/"
如果站点使用多个子域,则CAA记录也可以限制钓鱼攻击者对其中任何一个域名申请HTTPS证书。
downloads. domain.com. CAA 0 issue "wosign.com"
news. domain.com. CAA 0 issue "certum.eu"
forum. domain.com. CAA 0 issue "startcom.org"
此外,CAA记录也可用于将通配符证书的颁发权限指定仅限一家CA。
domain.com. CAA 0 issuewild " wosign.com"
CAA强制性检查,需要网站所有者参与
CA浏览器论坛187号提案强制证书颁发机构在颁发新的HTTPS证书之前验证CAA DNS记录,但不强制域名所有者创建DNS记录。如果网站所有者没有为其网站DNS记录设置CAA详细信息,这就意味着任何CA都可以为其域名颁发证书。
因此,建议网站所有者在2017年9月8日之前,将CAA字段添加到DNS记录中,这样可以阻止钓鱼攻击者申请你的网站HTTPS证书,用来仿冒你的网站。
消息来源:bleepingcomputer 沃通翻译整理(微信订阅号CAWoSign)
网友评论