易维信(EVTrust)数字证书

  SSL证书咨询   SSL证书咨询
  SSL证书咨询   SSL证书咨询
400-86365-00
  • QQ在线咨询:
首页>业界新闻>颁发SSL证书增新标准:SSL证书颁发机构(CA)将对颁发的SSL正式域名强制DNS CAA检测

颁发SSL证书增新标准:SSL证书颁发机构(CA)将对颁发的SSL正式域名强制DNS CAA检测

(一)强制CAA检查的提议背景

2017年3月7日,Cab Forum (一个全球证书颁发机构与浏览器的技术论坛)发起了一项关于对域名强制检查CAA的一项提议的投票,获得187票支持,投票有效,提议通过。 提议通过后,Cab论坛规定:所有证书颁发机构(CA),将于2017年9月8日根据Mozilla的Gervase Markham提出的检查CAA记录作为基准要求来实施。 关于强制CAA检测的详情请见:https://cabforum.org/2017/03/08/ballot-187-make-caa-checking-mandatory/

(二)什么是CAA记录?

CAA,全称Certificate Authority Authorization,即证书颁发机构授权,它是一项借助互联网的域名系统(DNS),使域持有人可以指定允许为其域名签发证书的数字证书认证机构(CA)的技术。它会在 DNS 下发 IP 的同时,同时下发一条资源记录,标记该域名下使用的证书必须由某证书颁发机构颁发。比如易维信evtrust.com官网使用了GeoTrust颁发的EV SSL证书,我们可以使用 CAA 技术标记 易维信[EVTrust]官网域名 www.evtrust.com 使用的 SSL 证书由 GeoTrust CA 颁发[当然可以知道多家CA,比如:我们在DNS里面再添加一条CAA记录,指定我们的商城域名:shop.evtrust.com的SSL证书有GlobalSign 这家CA颁发],这样就可以(在一定程度上)解决上面所述的问题。它为了改善PKI(Public Key Infrastructure:公钥基础设施)生态系统强度、减少证书意外错误发布的风险,通过DNS机制创建CAA资源记录,从而限定了特定域名颁发的证书和CA(证书颁发机构)之间的联系。从此,再也不能是任意CA都可以为任意域名颁发证书了。
      关于CAA记录,其实早在4年前便在 RFC 6844中有定义,但由于种种原因配置该DNS资源记录的网站寥寥无几。如今,SSL证书在颁发之前对域名强制CAA检查,就对想要https访问的网站域名提出了解析配置的要求。

(三)CAA资源记录详解

CAA记录可以控制单域名SSL证书的发行,也可以控制通配符证书。当域名存在CAA记录时,则只允许在记录中列出的CA颁发针对该域名(或子域名)的证书。

在域名解析(DNS)配置中,咱们可以为整个域(如evtrust.com)或者特定的子域(如shop.evtrust.com)设置CAA策略。当为整个域设置CAA资源记录时,该CAA策略将同时应用于该域名下的任一子域(比如:shop.evtrust.com,blog.evtrust.com等),除非被已设置的子域策略覆盖

● CAA记录格式

根据规范(RFC 6844),CAA记录格式由以下元素组成:

      CAA <flags> <tag> <value>

释义

元素

说明

CAA

DNS资源记录类型

<flags>

认证机构限制标志

<tag>

证书属性标签

<value>

证书颁发机构、策略违规报告邮件地址等

--><flags>定义为0~255无符号整型,取值:

Issuer Critical Flag:0

1~7为保留标记

--><tag>定义为US-ASCII和0~9,取值:

CA授权任何类型的域名证书(Authorization Entry by Domain) : issue

CA授权通配符域名证书(Authorization Entry by Wildcard Domain) : issuewild

指定CA可报告策略违规(Report incident by IODEF report) : iodef

auth、path和policy为保留标签

--><value>定义为八位字节序列的二进制编码字符串,一般填写格式为:

[domain] [";" * 参数]

(四)CAA资源记录示例

当需要限制域名evtrust.com及其子域名可由机构GeoTrust颁发不限类型的证书,同时可由GlobalSign颁发通配符证书,其他一律禁止,并且当违反配置规则时,发送通知邮件到service@evtrust.com。

配置如下(为便于理解,二进制Value值已经过转码,下同):

evtrust.com.  CAA 0 issue "geotrust.com"
evtrust.com.  CAA 0 issuewild "globalsign.com"
evtrust.com.  CAA 0 iodef "mailto:service@evtrust.com"

如果子域名有单独列出证书颁发要求,例如:

evtrust.com.  CAA 0 issue "geotrust.com"
shop.evtrust.com.  CAA 0 issue "comodoca.com"

那么,因子域策略优先,所以只有Comodo可以为域名shop.evtrust.com.颁发证书。

如果你仍然不太清楚如何填写 CAA 记录,可以用工具直接生成:https://sslmate.com/caa/该工具也可以进行CAA记录查询)。填写域名后点 Auto-Generate Policy,这个工具会自动查询你的网站使用了什么证书,从而生成对应的 CAA 记录数据。

(五)CAA记录查询

方法一:CAA记录是一个相对较新的资源记录,目前很多工具并不支持。以dig(linux下的工具)为例,不能适用其标准语法。若需要查询CAA记录,dig时需要直接指定RR类型(type257)。

例如:

$ dig google.com type257    
; <<>> DiG 9.8.3-P1 <<>> google.com type257  
;; global options: +cmd  
;; Got answer:  
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64266  
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0    

;; QUESTION SECTION:  
;google.com.            IN  TYPE257   
 
;; ANSWER SECTION:  
google.com.     86399   IN  TYPE257 \# 19 0005697373756573796D616E7465632E636F6D    

;; Query time: 51 msec  
;; SERVER: 8.8.8.8#53(8.8.8.8)  
;; WHEN: Thu Dec 29 21:07:18 2016  
;; MSG SIZE  rcvd: 59

该查询的输出是二进制编码记录,需要转码才能知道具体CAA策略。

方法二:也可以通过工具:https://sslmate.com/caa/进行CAA记录查询

(CAA记录查询检测方法很多,感觉这两种方便比较简单,特别是第方法二)

 

  • 易维信(EVTrust)官方微博

SSL证书销销售直线_0755 - 86 522 365

深圳市易维信科技服务有限公司   统一客服热线:400-86365-00    销售直线:0755 - 86 522 365   Q Q:86365 1133 、86365 1100 、86365 3311 、86365 9911

Copyright @ 2014-2019 EVTrust All Rights Reserved 粤ICP备14076676号-1 |