技术分享:浅谈DNSCAA (by 烈火君)

时间:2017-8-16 作者:烈火君 分类: 技术

2017年的互联网,各个企业对网络安全已经非常重视,不少域名服务商已经在自己的DNS服务器系统,为用户的域名部署了DNSCAA解析服务,那么什么是DNSCAA呢?英文全称为:Domain Name System Certification Authority Authorization。

技术分享:浅谈DNSCAA (by 烈火君)

指域名只信任所设置的公开证书颁发机构,也就是说,如果光网烈火设置了DNS CAA记录为阿尔法(AlphaSSL)CA机构,那么用户访问光网烈火的时候,就只有阿尔法CA机构发送的证书有效,从而抵御非法证书传输。

证书颁发机构授权DNSCAA记录在2013年成为标准,但是在世界上没有太多的影响力,因为CA证书颁发机构没有义务遵守这些规则。该记录允许域所有者,允许为该域发布SSL/TLS证书的CA。

根据CA现有行业规则,证书颁发机构必须验证SSL证书请求源是否合法,此所有权验证通常是自动的,并且涉及域所有者创建具有特定值的DNSTXT记录,或者在其站点结构中的,特定位置上传授权码,从而证明所在域是否合法。

技术分享:浅谈DNSCAA (by 烈火君)

DNSCAA记录背后的目标,是限制谁可以为某个域颁发证书。例如,Lighttp的DNSCAA记录是:lighttp.com 86400 IN CAA 0 "alphassl.com."。那么这就意味着,Lighttp主域只授权了AlphaSSL CA颁发机构的证书。

DNSCAA记录还支持一个名为iodef的标签。此标记允许域所有者,指定电子邮件地址或URL,CA可以报告其域下的CAA策略冲突的证书颁发请求。

例如,如果一个CA收到对域Lighttp的证书请求,但域Lighttp具有授权不同的CA颁发证书的CAA记录,则第一个CA将可疑请求报告发送给其域下的电子邮件地址,或CAA中指定的URLiodef属性。这将提醒域名所有者,其他人可能尝试未经授权获得证书。

光网烈火安全研究专家,在一篇博文中说:"DNSCAA是我们防御非法网络劫持的另一个层面,我们不用担心CA机构被锁定,因为记录只是在访问时进行检查,不会影响合法访问,目前支持DNSCAA记录的服务商有CloudDNS。设置好DNSCAA记录以后,可以用SSL安全监测网站来检测是否设置成功。"

版权声明

本网站所有图片、影视、音乐、文学作品均由本公司或版权所有人授权发布,转载请务必用超链接的方式署名。 技术分享:浅谈DNSCAA (by 烈火君) https://www.lighttp.com/?f=125。目前光网烈火已经加入公益机构,如您在本网站上消费,可免费为试点地区适龄儿童提供一份商业补充大病医疗保险,人均年最高保障额度为20万元,以寻求解决家庭因孩子重病治疗导致的家庭负担。

文章代码结束;由光网烈火编辑部雷雨于2017年8月16日13:59:06最后编辑并校验完成。
网站通过XHTML1.1严谨校验 网站通过CSS3.0严谨校验 网站通过Feed严谨校验


神来一句