DNS-запись CAA. Зачем нужна и как использовать?
CAA (Certification Authority Authorization) — это новый тип DNS-записи, предназначенный для определения центров сертификации, которым разрешен выпуск SSL/TLS-сертификатов для определенного доменного имени или субдомена.
Крупнейшие и наиболее популярные центры сертификации договорились, что начиная с 8 сентября 2017 года в обязательном порядке строго следовать инструкциям, указанным в CAA-записях доменного имени или субдомена для которого запрашивается выпуск сертификата.
Использование CAA-записи позволит повысить уровень безопасности в сети Интернет и сократить случаи неавторизованного получения сертификатов для сторонних доменных имен.
Я подготовил подробную инструкцию, которая разъясняет возможности CAA-записи и формат ее использования.
Значение CAA-записи состоит из трех частей, разделенных пробелом:
Значение flag представляет собой 8-битное число, старший бит которого обозначает критичность понимания записи центром сертификации. В данный момент допустимы следующие значения:
Значение tag может принимать одно из следующих значений:
Значение value зависит от значения tag и должно быть заключено в двойные кавычки («»).
Некоторые центры сертификации позволяют использовать дополнительные параметры для значения value. В этом случае, параметры должны быть разделены точкой с запятой (;).
Пример: 0 issue «comodoca.com; account=12345»
Пример: example.com. CAA 0 issue «comodoca.com»
Пример: example.com. CAA 0 issue «;»
Пример: example.com. CAA 0 issuewild «comodoca.com»
Пример: example.com. CAA 0 issuewild «;»
Пример: example.com. CAA 0 iodef «mailto:abuse@example.com»
CAA-запись поддерживают не все DNS-провайдеры. Актуальный список по состоянию на 30 августа 2017 года в алфавитном порядке:
Вы можете воспользоваться этим или этим онлайн-генератором для правильного и быстрого создания необходимых CAA-записей.
DNS-запись CAA. Зачем нужна и как использовать?
CAA (Certification Authority Authorization) — это новый тип DNS-записи, предназначенный для определения центров сертификации, которым разрешен выпуск SSL/TLS-сертификатов для определенного доменного имени или субдомена.
Крупнейшие и наиболее популярные центры сертификации договорились, что начиная с 8 сентября 2017 года в обязательном порядке строго следовать инструкциям, указанным в CAA-записях доменного имени или субдомена для которого запрашивается выпуск сертификата.
Использование CAA-записи позволит повысить уровень безопасности в сети Интернет и сократить случаи неавторизованного получения сертификатов для сторонних доменных имен.
Я подготовил подробную инструкцию, которая разъясняет возможности CAA-записи и формат ее использования.
Значение CAA-записи состоит из трех частей, разделенных пробелом:
Значение flag представляет собой 8-битное число, старший бит которого обозначает критичность понимания записи центром сертификации. В данный момент допустимы следующие значения:
Значение tag может принимать одно из следующих значений:
Значение value зависит от значения tag и должно быть заключено в двойные кавычки («»).
Некоторые центры сертификации позволяют использовать дополнительные параметры для значения value. В этом случае, параметры должны быть разделены точкой с запятой (;).
Пример: 0 issue «comodoca.com; account=12345»
Пример: example.com. CAA 0 issue «comodoca.com»
Пример: example.com. CAA 0 issue «;»
Пример: example.com. CAA 0 issuewild «comodoca.com»
Пример: example.com. CAA 0 issuewild «;»
Пример: example.com. CAA 0 iodef «mailto:abuse@example.com»
CAA-запись поддерживают не все DNS-провайдеры. Актуальный список по состоянию на 30 августа 2017 года в алфавитном порядке:
Вы можете воспользоваться этим или этим онлайн-генератором для правильного и быстрого создания необходимых CAA-записей.
«Теперь обязательно»: выдача SSL-сертификатов с учетом DNS-записи
В этом году публичные организации, отвечающие за распределение сертификатов, в обязательном порядке начнут учитывать специальные DNS-записи. Эти записи позволяют владельцам доменов определять «круг лиц», которым дозволено выдавать сертификаты SSL/TLS (о них мы писали в нашем предыдущем посте) для их домена.
DNS-записи используются еще с 2013 года, но их применение носило скорее рекомендательный характер, потому центры сертификации (CA — certificate authorities) не были обязаны подчиняться этим правилам. Но вот участники форума CA/Browser, объединяющего создателей популярных браузеров и сертификационные компании, проголосовали за то, чтобы сделать процедуру проверки записи Certification Authority Authorization (CAA) частью процесса выдачи сертификата.
«CAA не станет «серебряной пулей», однако будет еще одним уровнем защиты», — рассказывает Скотт Хелме (Scott Helme), консультант по информационной безопасности.
Это требование вступит в силу 8 сентября, и те CA, которые не смогут его удовлетворить, рискуют получить штрафы. Таким образом, теперь центры сертификации должны будут в обязательном порядке проверять, что запросы на выдачу SSL/TLS-сертификата поступают от владельца домена.
Цель такого решения — снизить число случаев неавторизованной выдачи сертификатов при компрометации центра сертификации или взлома домена, когда злоумышленник может запросить валидный сертификат для скомпрометированного домена у любой сертификатной компании и впоследствии применить его для проведения MITM-атак или перенаправления пользователей на фишинговые ресурсы.
Для формирования записи владельцам доменов можно использовать инструмент CAA Record Generator, который автоматически сгенерирует правильные командные строки.
Дополнением к тегу issue, определяющему легитимных CA, запись будет поддерживать тег iodef, проверка которого также окажется обязательной. Этот тег позволит владельцу домена определить адреса электронной почты или URL, куда CA должны будут отправлять уведомления о подозрительных запросах на сертификаты.
Создание и управление DNS-записями CAA
CAA (Certificate Authority Authorization) – это стандарт, который предотвращает создание неавторизованных сертификатов SSL/TLS. Записи CAA позволяют владельцам доменов указывать, какие центры сертификации (Certificate Authorities, CA) могут выдавать сертификаты.
Требования
Для работы вам понадобится зарегистрированное доменное имя. Полезные инструкции вы найдете в руководстве Как настроить имя хоста.
Краткий обзор записи CAA
CAA использует записи ресурсов системы доменных имен (Domain Name System, DNS).
Как и другие записи DNS, CAA может применяться как ко всему домену (example.com), так и к определенному поддомену (beta.example.com). Срок действия записи определяется в секундах.
Кроме этих общих полей DNS записи CAA используют три специальных поля: tags, values и flags.
Поле tag
Поле tag – это строка ASCII. Стандарт CAA поддерживает три значения tag:
Кроме того, стандарт CAA позволяет центрам сертификации определять собственные значения tag. Каждая запись CAA может иметь только одно значение tag.
Поле value
Значение в поле value зависит от значения поля tag.
Если в поле tag указано значение issue или issuewild, в value указывается домен центра сертификации, который получает разрешение на выдачу сертификатов (например, letsencrypt.org).
Если в поле tag указано значение iodef, в поле value нужно указать URL или почтовый адрес, по которому ЦС может сообщить о нарушениях (например, user@8host.com).
Примечание: Стандарт CAA поддерживает:
На момент написания статьи не все провайдеры поддерживают эти функции.
Поле flag
Поле flag содержит беззнаковое целое между 0 и 255.
В настоящее время это поле используется для установки флага Issuer Critical, который определяет, как должен вести себя ЦС, когда он сталкивается с тегом, который он не понимает.
По умолчанию значение flag равно 0. При таком значении, если ЦС запрашивает DNS-запись для выдачи сертификата и находит тег, который он не понимает, он будет игнорировать эту запись и продолжать обрабатывать дополнительные записи.
Если поле flag любой из записей имеет значение 1 и ЦС не понимает значения тега этой записи, то отвечающий стандартам ЦС должен отказаться от выдачи сертификата.
Больше о записях CAA можно узнать в RFC 6844.
Создание записи CAA
Откройте панель управления вашего хостинг-провайдера. При создании новой записи для выбранного домена укажите CAA.
Создание записи с тегом issue
К примеру, чтобы центр сертификации Let’s Encrypt имел возможность выдавать сертификаты любому имени хоста в my-domain.certs, создайте такую запись:
HOSTNAME: введите @, чтобы применить запись ко всему домену.
AUTHORITY GRANTED FOR: Укажите домен центра сертификации. В данном случае это letsencrypt.org.
TAG: Чтобы сервис Let’s Encrypt мог генерировать любые сертификаты, выберите значение issue.
FLAGS: можно оставить значение по умолчанию, 0.
TTL (SECONDS): срок действия записи в секундах. Можно оставить значение по умолчанию, 3600.
Затем можно принять запись. После этого в списке DNS-записей появится новая запись CAA.
Позже в запись можно добавить новые теги.
Если вы хотите разрешить другому ЦС предоставлять сертификаты, нужно будет добавить новую запись.
Создание записи с тегом issuewild
При отсутствии записи issuewild любой ЦС сможет выдавать wildcard-сертификаты. В этом примере вы узнаете, как добавить запись, которая позволит центру сертификации Comodo выдавать только wildcard-сертификаты.
HOSTNAME: введите @, чтобы применить запись к домену my-domain.certs.
AUTHORITY GRANTED FOR: Укажите домен центра сертификации. В данном случае это comodoca.org.
TAG: выберите значение issuewild.
FLAGS: можно оставить значение по умолчанию, 0.
TTL (SECONDS): срок действия записи в секундах. Можно оставить значение по умолчанию, 3600.
Примечание: Вместо условного домена my-domain.certs укажите свое доменное имя.
После добавления записи для Comodo ни один другой ЦС не сможет выдать wildcard-сертификаты. Чтобы дать такое право другому ЦС, создайте для него отдельную запись.
Создание записи с тегом iodef
Теперь попробуйте добавить запись с тегом iodef. Такая запись позволит центру сертификации связаться с вами в случае каких-либо нарушений.
HOSTNAME: введите @, чтобы применить запись к домену my-domain.certs.
AUTHORITY GRANTED FOR: Укажите адрес электронной почты, по которому с вами можно связаться, например mailto:caapolicy@my-domain.certs
TAG: выберите значение iodef.
FLAGS: можно оставить значение по умолчанию, 0.
TTL (SECONDS): срок действия записи в секундах. Можно оставить значение по умолчанию, 3600.
Если ЦС обнаружит нарушения политики сертификатов, эта запись позволит ему связаться с вами.
Управление записями CAA
Больше информации о записях можно найти в разделе настроек DNS в панели управления.
Изменения будут немедленно отражены в панели управления. Как скоро изменения будут распространяться на DNS-серверы, определяет значение TTL.
Запрос DNS-записей
Здесь вы узнаете, как проверить правильность новых записей. Обратите внимание, что более старые версии обычных инструментов DNS (такие как dig) по умолчанию не возвращают записи CAA. Если вы хотите запросить свои записи с помощью инструмента командной строки, скорее всего, необходимо обновить инструмент.
Используйте сервис Google Public DNS service, чтобы проверить записи. Для этого укажите свой домен (например, my-domain.certs) и введите САА в поле RR Type и нажмите Resolve.
В результате в поле answer должны появиться ваши записи CAA.
Заключение
Теперь вы знаете, что такое записи САА, зачем они нужны, как их создавать и управлять ими.
Авторизация в Центре сертификации (CAA)
Последнее обновление: 27 июл. 2017 г. | Вся документация
CAA – тип записи DNS, с помощью которого владелец сайта может определить Центры сертификации (CAs) для выпуска сертификатов, содержащих конкретные доменные имена. Она была стандартизирована в 2013 году в RFC 6844, чтобы позволить Центру сертификации “уменьшить риск непреднамеренного ошибочного выпуска сертификата”. По умолчанию каждый публичный Центр сертификации имеет право выпускать сертификаты для любого доменного имени в общедоступном DNS при условии, что контроль над этим доменным именем подтвержден. Это означает, что возможный баг в одном из множества проверочных процессов Центров сертификации потенциально может затронуть каждое доменное имя. CAA позволяет владельцам доменов уменьшить этот риск.
Использование CAA
Если вам не нужна CAA, можно ничего не делать (но см. ошибки CAA ниже). Если же вы хотели бы использовать CAA, чтобы ограничить число Центров сертификации, имеющих право выпуска сертификатов для вашего домена, нужно использовать провайдера DNS, который поддерживает настройку записей CAA. Список таких провайдеров можно найти на странице SSLMate’s CAA. Если ваш провайдер нашелся в списке, можно использовать генератор записей SSLMate’s CAA для создания набора записей CAA, перечисляющих центры сертификации, которые вы хотели бы разрешить.
Где разместить запись
CAA RFC определяет дополнительное поведение, называемое “tree-climbing”, которое требует, чтобы Центры сертификации также проверяли родительские домены для результата разрешения CNAME. Это дополнительное поведение было позже удалено в исправлении, поэтому Let’s Encrypt и другие Центры сертификации не реализовали его.
Ошибки CAA
С тех пор как Let’s Encrypt стал проверять записи CAA, прежде чем выпустить любой сертификат, иногда появляются ошибки даже для доменов, не имеющих никаких записей CAA. При появлении ошибки невозможно определить, разрешен ли выпуск для затронутого домена, поскольку могут существовать записи CAA, запрещающие выпуск, которые не видны из-за ошибки.
Если вы получаете ошибки, связанные с CAA, сделайте еще несколько попыток, используя наше тестовое окружение, чтобы определить, является ли ошибка временной или постоянной. Если она постоянна, вам нужно обратиться с запросом в службу поддержки вашего DNS-провайдера или сменить провайдера. Если вы не знаете, кто ваш DNS-провайдер, выясните это у провайдера вашего хостинга.
Некоторые провайдеры DNS, которые не знакомы с CAA, первоначально отвечают на сообщения о проблемах: «Мы не поддерживаем записи CAA». Вашему DNS-провайдеру не нужно специально поддерживать записи CAA; он только должен возвращать ответ NOERROR для неизвестных типов запросов (включая CAA). Возврат других кодов операций, включая NOTIMP для нераспознанных типов запросов, является нарушением RFC 1035 и подлежит исправлению.
SERVFAIL
Одной из самых распространенных ошибок, с которыми сталкиваются пользователи, является SERVFAIL. Чаще всего это указывает на ошибку проверки DNSSEC. Если вы получили ошибку SERVFAIL, первым делом используйте отладчик DNSSEC, например, dnsviz.net. Если это не помогло, возможно, ваши серверы имен генерируют неправильные подписи только тогда, когда ответ пуст. And CAA responses are most commonly empty. А ответы CAA чаще всего пусты. Например, PowerDNS имел эту ошибку в версии 4.0.3 и ниже.
Если у вас не включен DNSSEC и вы получили SERVFAIL, вторая наиболее вероятная причина заключается в том, что ваш полномочный сервер имен возвратил NOTIMP, что, как описано выше, является нарушением RFC 1035; вместо этого он должен вернуть NOERROR с пустым ответом. В таком случае отправьте сообщение об ошибке или запрос в службу поддержки вашему провайдеру DNS.
Наконец, ошибки SERVFAIL могут быть вызваны перебоями в работе ваших полномочных серверов имен. Проверьте записи NS для ваших серверов имен и убедитесь, что каждый сервер доступен.
Таймаут
Иногда запросы CAA заканчиваются таймаутом. То есть полномочный сервер имен не отвечает даже после множества попыток. Чаще всего это происходит, если перед вашим сервером имен неправильно настроен файервол, который отвергает запросы DNS с неизвестным типом. Подайте заявку в службу поддержки вашего DNS-провайдера и спросите об их настройках файервола.
Все письма и запросы направляйте по адресу:
