停止CAS与CAA的域名证明书

认证机构授权记录,或CAA记录是一种新的DNS条目类型,它通知证书颁发机构(CAS)关于哪个CAS允许为给定域名发出证书。它是域名所有者阻止未在不知不觉中向第三方发布证书的域名所有者对域名所有者的愿望。

CAArecords were formally standardized in那but not untildid CAs agreed to check these records before issuing a certificates. By那all CAs must check and verify anyCAArecords before issuing a certificate. (This policy change applies to the 51 members of the CA/Browser Forum, with other CAs to follow.)

它是域名所有者设置这些DNS记录的自愿,但让他们可以为寻求冒充其服务器的人添加额外的保护。

Here is an example section from a BIND zone file that shows what would be a common CAA resource record deployment:

example.com。在caa 0问题“digicert.com”example.com。在CAA 0问题“Letsencrypt.org”example.com。在CAA 0问题Wild“;”example.com。在CAA 0 Iodef“mailto:security@example.com”

该se four records instructions compliant CAs in the following ways:

  • 只有两个CAs,加密和DigiCert吧identified by their domain names, are allowed to issue certificates for the domain.
  • 允许允许CA发出域的通配符证书。(";"表示空字符串 - 意思是没有人。)
  • Any CA other than Let’s Encrypt and DigiCert are encouraged to report any attempts at having them issue a certificate for the domain tosecurity@example.com.通过电子邮件。

该value0.不是在其他DNS记录类型中看到的优先级分数,而是选项标志。的价值0.means it’s a regular record that should be processed if supported. A value of1如果记录未理解,则CA必须处理记录或取消发行流程。将此值设置为1在上面的例子中,这意味着Digicert和Let的Encrypt都不能为域源发出证书,既不具有两个身份。

该syntax of aCAARFC 6844中的完整定义了记录。检查您的证书颁发机构是否有正确的值在部署CAA记录之前,可能需要您需要设置的任何其他选项。

Here are a few points to consider and some general recommendations when deployingCAA记录:

  • 允许您当前的CA加上一个倒退CA发出证书。对于与您当前的CA有任何可能性或争议进行后备期权,这是一个很好的做法。
  • Use multiple name servers from DNS multiple providers. If one DNS server or provider is compromised, than the other may still hold the correctCAA记录并阻止任何证书发布请求。(这取决于CA的DNS查找实现。)
  • 长期TTL最多一周,因为这些记录并未经常变化。暂时的缓存可以被视为安全功能CAA记录。
  • Certificates can be issued to subdomains. Be sure you setCAA常见的高价值目标子域的记录,即使您不使用它们,如www,web,安全,邮件,商店等。此外,您还可以设置通配符录制(*)。
  • 签署你的CAArecords using DNSSEC to prevent any in-transit tampering.

Current adoption

Out of Alexa Internet’s list of top one million domains, only 307 domains had deployed one or moreCAA记录as.CAA是一个相当新的纪录类型,而CAS只致力于尊重它。

谷歌的域名有一些CAA记录,包括Google.comgoogleusercontent.com.,和appspot.com。他们没有为他们的区域域创建记录(如Google.com。au)也没有Youtube.com.

少数证书当局也创造出来CAArecords for their own domains comodo.com, including entrust.net, and symantec.com. Branded variations of these CAs don’t necessarily haveCAA记录。该re was no correlation between which CAs supportCAA检查和哪些CAA记录自己的域名

我相信这是公平的评估,说明最大的障碍之一CAArecord adoption is that many managed DNS service providers don’t provide many standard DNS record types, and few of the web’s most used providers support it.

管理DNS提供商的支持

最近的流行DNS服务器软件版本,包括绑yabo88软件下载定和PowerDNS,所有支持CAA记录。在涉及管理DNS托管提供商时,事情看起来不太好。最常用的DNS提供商的几个不支持创建CAA记录。以下是最常见的受管DNS托管提供商的分解。

以下托管yabo亚博体育下载DNS托管提供商support creatingCAArecords

  • 亚马逊AWS路线53
  • Cloudflare
  • Constellix DNS /
    DNS使DNS简单
  • dnsimple.
  • DYN DNS.
  • 甘吉
  • Godaddy DNS.
  • Google Cloud DNS
  • UltraDNS
  • Zilore DNS

以下托管yabo亚博体育下载DNS托管提供商notsupport creatingCAArecords

  • Akamai DNS.
  • 网络解决方案DNS.

更新():上面的概述已更新,以反映CloudFlare,Dyn,Gandi和Godaddy DNS现在支持CAA记录。

这些是世界上最受欢迎的DNS提供商中的一些,而且他们历史地非常缓慢地采yabo88软件下载用新的DNS入口类型(如果有的话)。我们只能希望更多的人会增加支持CAA录制类型。

As therecent certificate misissuance from Symantec表演,CAS并不涵盖迷人证书。如果您的DNS提供商支持创建CAA记录,我建议您创建CAA您的域名的记录。添加一些额外的DNS记录的管理开销非常低,并且与其他安全工具一起使用时,CAA记录可能有助于阻止您网站的潜在未来的恶意政变。