DNS記錄將有助于防止未經(jīng)授權(quán)的SSL證書,遠(yuǎn)程控制軟件,灰鴿子監(jiān)控軟件

admin

DNS記錄將有助于防止未經(jīng)授權(quán)的SSL證書,遠(yuǎn)程控制軟件,灰鴿子監(jiān)控軟件
證書頒發(fā)機(jī)構(gòu)將需要遵守一個(gè)新的DNS記錄，該DNS記錄指定誰(shuí)授權(quán)為域頒發(fā)證書

幾個(gè)月后，公開信任的證書頒發(fā)機(jī)構(gòu)將不得不開始尊重特定的域名系統(tǒng)（DNS）記錄，允許域所有者指定誰(shuí)允許為其域發(fā)布SSL證書。

證書頒發(fā)機(jī)構(gòu)授權(quán)（CAA）DNS記錄在2013年成為標(biāo)準(zhǔn)，但沒有太多的真實(shí)世界影響，因?yàn)樽C書頒發(fā)機(jī)構(gòu)（CA）沒有義務(wù)遵守它們。

該記錄允許域所有者列出允許為該域發(fā)布SSL / TLS證書的CA。這樣做的原因是為了限制未經(jīng)授權(quán)的證書頒發(fā)，如果CA被泄密或有流氓員工，這可能是意外的或故意的。

根據(jù)由CA /瀏覽器論壇創(chuàng)建的現(xiàn)有行業(yè)規(guī)則，一個(gè)組合主要瀏覽器供應(yīng)商和CA的組織，證書頒發(fā)機(jī)構(gòu)必須驗(yàn)證SSL證書請(qǐng)求源自域所有者本身或控制這些域的人員。

此所有權(quán)驗(yàn)證通常是自動(dòng)的，并且涉及要求域所有者創(chuàng)建具有特定值的DNS TXT記錄，或者在其站點(diǎn)結(jié)構(gòu)中的特定位置上傳授權(quán)碼，從而證明其對(duì)域的控制。

然而，黑客進(jìn)入網(wǎng)站也可能使攻擊者有能力通過(guò)此類驗(yàn)證，并從任何證書頒發(fā)機(jī)構(gòu)請(qǐng)求受侵害域的有效證書。這樣的證書可以稍后被用于對(duì)用戶發(fā)起中間人攻擊或?qū)⑵湟龑?dǎo)到網(wǎng)絡(luò)釣魚頁(yè)面。

CAA記錄背后的目標(biāo)是限制誰(shuí)可以為域頒發(fā)證書。例如，Google的CAA記錄是：google.com 86400 IN CAA 0期“symantec.com”。這意味著Google專門授權(quán)Symantec頒發(fā)其主域名證書。

3月份，CA / B論壇投票決定CAA記錄檢查是發(fā)證過(guò)程的一部分。這項(xiàng)要求將于9月8日起施行，不符合行業(yè)規(guī)定的認(rèn)證機(jī)構(gòu)將違反行業(yè)規(guī)定，并將面臨制裁風(fēng)險(xiǎn)。

除了“問(wèn)題”標(biāo)簽之外，CAA記錄還支持一個(gè)名為“iodef”的標(biāo)簽，CA也符合要求。此標(biāo)記允許域所有者指定電子郵件地址或URL，CA可以報(bào)告與域的CAA策略沖突的證書頒發(fā)請(qǐng)求。

例如，如果一個(gè)CA收到對(duì)域X的證書的請(qǐng)求，但域X具有授權(quán)不同的CA頒發(fā)證書的CAA記錄，則第一個(gè)CAmust將可疑請(qǐng)求報(bào)告給電子郵件地址或CAA中指定的URL iodef屬性。這將提醒域名所有者，其他人可能嘗試未經(jīng)授權(quán)獲得證書。

安全研究員和HTTPS部署專家Scott Helme在一篇博文中說(shuō)：“CAA不是一個(gè)銀彈，而是我們防御的另一個(gè)層面。 “我們不用擔(dān)心供應(yīng)商鎖定，因?yàn)橛涗浿荒茉诎l(fā)行時(shí)進(jìn)行檢查，設(shè)置起來(lái)不太簡(jiǎn)單，沒有什么可失去的�！�