Certificate Authority Authorization – обязателен к проверке с сентября 2017

Защищаемся от фальшивых сертификатов настройкой CAA в DNS

Стандарту CAA, описанному в RFC 6844 уже около 4х лет, и всё это время он находился в состоянии рекомендации.

Суть стандарта и механизм его использования есть в нашей статье про настройку TLS, поэтому не будем повторяться.

Так вот, в марте 2017 года CA/Browser Forum абсолютным большинством проголосовал за то, чтобы проверка CAA стала обязательной с сентября 2017 года.

Как выглядит утверждённый механизм проверки CAA?

Механизм выглядит так – если кто-то запрашивает определённый CA на выдачу сертификата для домена testdomain.local., то CA запрашивает через DNS разрешение CAA-записи за этот домен.

Если её нет, то он пропускает проверку и идёт дальше – т.е. отсутствие CAA-записи не мешает выдаче сертификатов. Но если она есть, а выглядеть она может в вашем DNS как-то так:

testdomain.local. CAA 128 issue "letsencrypt.org"
testdomain.local. CAA 128 issue "startssl.com"

то он проверяет – есть ли его имя среди CAA-ответов, которые относятся к issue. По сути это “список CA, которым разрешено работать с этим доменом”. Если CA находит себя там – выдаёт, если нет – отказывает в запросе.

Это является чем-то подобным SPF-записи для электронной почты, когда вы через DNS рассказываете, какие ваши сервера и IP-адреса могут отправлять почту, а какие – нет. Добавление этой записи резко осложняет для злоумышленников возможность запросить у кого-то из CA фальшивый сертификат для вашего домена.

Поэтому добавление данной записи – нужный элемент защиты инфраструктуры, если есть возможность – добавьте.

Возможно, вам будет также интересно почитать эти статьи с нашей Knowledge Base

Ruslan V. Karmanov