DNS記錄將有助于防止未經(jīng)授權(quán)的SSL證書,遠(yuǎn)程控制軟件,灰鴿子監(jiān)控軟件

admin

DNS記錄將有助于防止未經(jīng)授權(quán)的SSL證書,遠(yuǎn)程控制軟件,灰鴿子監(jiān)控軟件
證書頒發(fā)機(jī)構(gòu)將需要遵守一個新的DNS記錄，該DNS記錄指定誰授權(quán)為域頒發(fā)證書

幾個月后，公開信任的證書頒發(fā)機(jī)構(gòu)將不得不開始尊重特定的域名系統(tǒng)（DNS）記錄，允許域所有者指定誰允許為其域發(fā)布SSL證書。

證書頒發(fā)機(jī)構(gòu)授權(quán)（CAA）DNS記錄在2013年成為標(biāo)準(zhǔn)，但沒有太多的真實世界影響，因為證書頒發(fā)機(jī)構(gòu)（CA）沒有義務(wù)遵守它們。

該記錄允許域所有者列出允許為該域發(fā)布SSL / TLS證書的CA。這樣做的原因是為了限制未經(jīng)授權(quán)的證書頒發(fā)，如果CA被泄密或有流氓員工，這可能是意外的或故意的。

根據(jù)由CA /瀏覽器論壇創(chuàng)建的現(xiàn)有行業(yè)規(guī)則，一個組合主要瀏覽器供應(yīng)商和CA的組織，證書頒發(fā)機(jī)構(gòu)必須驗證SSL證書請求源自域所有者本身或控制這些域的人員。

此所有權(quán)驗證通常是自動的，并且涉及要求域所有者創(chuàng)建具有特定值的DNS TXT記錄，或者在其站點結(jié)構(gòu)中的特定位置上傳授權(quán)碼，從而證明其對域的控制。

然而，黑客進(jìn)入網(wǎng)站也可能使攻擊者有能力通過此類驗證，并從任何證書頒發(fā)機(jī)構(gòu)請求受侵害域的有效證書。這樣的證書可以稍后被用于對用戶發(fā)起中間人攻擊或?qū)⑵湟龑?dǎo)到網(wǎng)絡(luò)釣魚頁面。

CAA記錄背后的目標(biāo)是限制誰可以為域頒發(fā)證書。例如，Google的CAA記錄是：google.com 86400 IN CAA 0期“symantec.com”。這意味著Google專門授權(quán)Symantec頒發(fā)其主域名證書。

3月份，CA / B論壇投票決定CAA記錄檢查是發(fā)證過程的一部分。這項要求將于9月8日起施行，不符合行業(yè)規(guī)定的認(rèn)證機(jī)構(gòu)將違反行業(yè)規(guī)定，并將面臨制裁風(fēng)險。

除了“問題”標(biāo)簽之外，CAA記錄還支持一個名為“iodef”的標(biāo)簽，CA也符合要求。此標(biāo)記允許域所有者指定電子郵件地址或URL，CA可以報告與域的CAA策略沖突的證書頒發(fā)請求。

例如，如果一個CA收到對域X的證書的請求，但域X具有授權(quán)不同的CA頒發(fā)證書的CAA記錄，則第一個CAmust將可疑請求報告給電子郵件地址或CAA中指定的URL iodef屬性。這將提醒域名所有者，其他人可能嘗試未經(jīng)授權(quán)獲得證書。

安全研究員和HTTPS部署專家Scott Helme在一篇博文中說：“CAA不是一個銀彈，而是我們防御的另一個層面。 “我們不用擔(dān)心供應(yīng)商鎖定，因為記錄只能在發(fā)行時進(jìn)行檢查，設(shè)置起來不太簡單，沒有什么可失去的�！�