四月初,CA /浏览器论坛通过投票决定,从2017年9月8日起,所有CA机构颁发SSL证书前必须要求对颁发证书对象的域名进行CAA检测,以此防止SSL证书错误的措施。
什么是CAA?
证书颁发机构授权(简称CAA)是保护域名免受钓鱼的安全措施,网站运营商可以通过该措施来保护域名免于错误发布。
允许域名的所有者指定哪所证书颁发机构(CA)为其网站颁发证书。CAA为其配置为DNS记录。需要使用CAA的域名所有者可以创建一个DNS记录,包含域名指定的证书机构的CA列表。
为什么要强制启动CAA检查?
任何一家CA机构对于整个互联网的安全都有极大的影响。因为任何一家CA都可以给每一位申请者的域名颁发证书,在过往的岁月里,一些小而不知名的的CA机构常常成为黑客利用的对象。为了提升业绩,这些小的CA机构也许在没有正确验证身份的情况下颁发证书。虽然目前也有不少规章制度以及措施限制CA机构颁发证书,但仍存在不少的漏洞,而CAA为域名所有者提供另一个网络安全防线。
根据新的CAA检查程序,监管SSL证书颁发操作的组织即CA浏览器论坛,证书颁发机构(CA)必须检查客户申请证书域名的DNS记录中的CAA字段。域名所有者可以在CAA中创建DNS记录,防止钓鱼攻击者使用该域名申请SSL证书。
CA浏览器论坛是监督SSL证书颁发操作的组织机构,根据其批准的新的CAA检查程序, CA必须检查客户申请证书的域名DNS记录中的CAA字段。域名所有者可以在CAA字段中留下指令,以防止钓鱼攻击者使用其域名申请SSL/TLS证书。例如:
sslsq.com. CAA 0 issue “gdca.com.cn”
该CAA字段表示只有gdca可以向指定的域名颁发证书。未经授权的第三方尝试通过其他CA申请获取用于sslsq.com的SSL证书将会被拒。
域名所有者可以将多个CAA字段添加到域名的DNS记录中。例如,如果第三方尝试为一个未获得授权的域名申请证书,则以下CAA字段会告诉CA并向网站所有者发送邮件,表示有人正在尝试为未经授权的网站申请SSL证书。网站所有者收到邮件必须有所警惕并深入调查和检查原因。
sslsq.com. CAA 0 iodef”mailto:admin@sslsq.com”
Iodef属性还支持URL端点,可以记录尝试在其他CA申请SSL证书的行为。
sslsq.com. CAA 0 iodef “http://sslsq.com/fraud-log/”
如果站点使用多个子域,则CAA记录也可以限制钓鱼攻击者对其中任何一个申请SSL证书。
downloads. sslsq.com. CAA 0 issue “gdca.com.cn”
news. sslsq.com. CAA 0 issue “symantec.com”
forum. sslsq.com. CAA 0 issue “geotrust.com”
此外, CAA记录也可用于将通配符证书的颁发权限指定仅限一家CA。(如举例的gdca)
sslsq.com. CAA 0 issuewild ” gdca.com.cn”
CA浏览器论坛187号提案强制证书颁发机构在颁发新的SSL证书之前验证CAA DNS记录,但不强制域名所有者创建DNS记录。如果网站所有者没有为其网站DNS记录设置CAA详细信息,这就意味着任何CA都可以为其域名颁发证书。
因此,建议网站所有者在2017年9月8日之前,将CAA字段添加到DNS记录中,这样可以阻止钓鱼攻击者申请你的网站SSL证书,用来仿冒你的网站。
SSL证书是HTTP明文协议升级HTTPS加密协议的重要渠道,是网络安全传输的加密到通道。关于更多SSL证书的资讯,请关注GDCA(数安时代)。GDCA致力于网络信息安全,已通过WebTrust 的国际认证,是全球可信任的证书签发机构。GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议,并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。
消息来源:bleepingcomputer 编辑整理:GDCA
