防止域名证书劫持,阿里云解析率先支持CAA

简介: 2017年3月,CA浏览器论坛投票通过187号提案,要求CA机构从2017年9月8日起执行CAA强制性检查。CAA标准使得网站所有者,仅授权指定CA机构为自己的域名颁发证书,以防止HTTPS证书错误签发。

背景

2015年发生过一起著名的沃通误签发GitHub域名SSL证书事件,用户在使用schrauger.github.com以及schrauger.github.io的个人子页面权限,获取沃通信任后,成功拿到了github.com、github.io、www.github.io这几个域名的证书。此时,如果把用户的访问流量劫持到本地服务器,那么浏览器就能访问位于本地的伪造GitHub钓鱼网站,HTTPS安全加密通信将没有任何作用。
据权威部门统计,全球约有上百个证书颁发机构(CA)有权发放HTTPS证书,证明您网站的身份。但是证书颁发机构由于某些原因,往往会被浏览器列入"黑名单" ,并公开宣布将不再信任其签发的https证书。所以当你访问到部署了这些证书的网站时,部分浏览器比如谷歌、火狐会提示"https证书不受信任",浏览器地址栏的https也会被划上一条小红线,网页不能访问,如图所示。

image

今年6月1日,《中华人民共和国网络安全法》正式实施,标志着网络安全已得到国家的高度重视。其中,第二十一条规定,网络运营者有承担采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施的义务。因此,迫切需要一项公共标准来授权域名所有者指定允许为其域名颁发HTTPS证书的机构。
CAA(Certification Authority Authorization,即证书颁发机构授权)是一项防止HTTPS证书错误签发的安全措施,于2013年1月通过互联网工程任务组(IETF)的批准列为RFC6844,2017年3月,CA浏览器论坛投票通过187号提案,要求CA机构从2017年9月8日起执行CAA强制性检查。
CAA标准使得网站所有者,仅授权指定CA机构为自己的域名颁发证书,以防止HTTPS证书错误签发。
为网站域名设置CAA记录也成为了提高网站安全性的方法之一。
目前,阿里云云解析DNS作为国内最大的权威DNS服务商,已率先支持CAA记录类型。那么怎样设置CAA记录?CAA记录具体表示什么意思呢?

CAA格式

CAA记录的格式为:[flag] [tag] [value],是由一个标志字节的[flag]和一个被称为属性的标签[tag]-值[value]对组成,可以将多个CAA字段添加到域名的DNS记录中。

字段
说明
flag
0-255之间的无符号整数,用于认证机构限制标志,通常情况下填0,表示如果颁发证书机构无法识别本条信息,就忽略。
tag
目前有三种issue、issuewild、iodef。
  • issue表示:CA授权单个证书颁发机构发布的任何类型的域名证书;
  • issuewild表示:CA授权单个证书颁发机构发布主机名的通配符证书;
  • iodef表示:CA可以将违规的颁发记录URL发送给某个电子邮箱;
value
CA的域名或用于违规通知的电子邮箱;

CAA记录示例

例如:我只允许midengd.xyz的证书是symantec.com颁发的,并且如果有违规通知我的邮箱admin@midengd.xyz。

登录阿里云云解析控制台,添加如下两条解析记录,如图所示:

@ 0 issue "symantec.com"
@ 0 iodef "mailto:admin@midengd.xyz"

image.png | center | 704x226

CAA记录查询

使用 “dig 域名 记录类型”来进行查询

sh-3.2# dig midengd.xyz caa

; <<>> DiG 9.10.5rc1 <<>> midengd.xyz caa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26714
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;midengd.xyz. IN CAA

;; ANSWER SECTION:
midengd.xyz. 600 IN CAA 0 iodef "mailto:admin@midengd.xyz"
midengd.xyz. 600 IN CAA 0 issue "symantec.com"

;; Query time: 577 msec
;; SERVER: 30.26.8.5#53(30.26.8.5)
;; WHEN: Tue Dec 05 18:55:48 CST 2017
;; MSG SIZE rcvd: 114

未来发展前景

自今年4月份决定,所有CA机构颁发SSL证书前必须要求对颁发证书对象的域名进行CAA检测以来,以将近8个月的时间。目前,海外Route53、dyn、Cloudflare等主要DNS服务商均已支持CAA记录,但是国内的普及程度还没有跟上步伐。

加强网络安全需要从一点一滴开始,不放过任何一个风险点才能不给不法分子有机可乘。随着社会网络安全意识的整体提高,CAA记录作为加强网站安全的措施之一,必将会成为金融机构、电子政务、公共服务等行业的一项网络安全基准要求,也会有越来越多的DNS服务商的支持CAA记录,CAA普及也只是时间问题。

目录
相关文章
|
5月前
|
存储 算法 安全
.NET 平台 SM2 国密算法 License 证书生成深度解析
授权证书文件的后缀通常取决于其编码格式和具体用途。本文档通过一个示例程序展示了如何在 .NET 平台上使用国密 SM2 算法生成和验证许可证(License)文件。该示例不仅详细演示了 SM2 国密算法的实际应用场景,还提供了关于如何高效处理大规模许可证文件生成任务的技术参考。通过对不同并发策略的性能测试,开发者可以更好地理解如何优化许可证生成流程,以满足高并发和大数据量的需求。 希望这段描述更清晰地传达了程序的功能和技术亮点。
350 14
.NET 平台 SM2 国密算法 License 证书生成深度解析
|
3月前
|
域名解析 存储 网络协议
域名解析的终极指南:从基础到进阶,彻底搞懂 DNS 记录
域名解析是网站运行的基础,正确配置DNS记录至关重要。本文从基础到进阶全面解析DNS知识,涵盖A、AAAA、CNAME、MX、TXT、CAA等常见记录类型及其应用场景。通过学习,你将了解DNS的工作原理,掌握如何优化域名配置,确保网站与邮件服务高效运行。无论搭建个人博客还是企业官网,本文都能助你轻松搞定域名解析!
624 0
|
5月前
|
安全 算法 网络协议
解析:HTTPS通过SSL/TLS证书加密的原理与逻辑
HTTPS通过SSL/TLS证书加密,结合对称与非对称加密及数字证书验证实现安全通信。首先,服务器发送含公钥的数字证书,客户端验证其合法性后生成随机数并用公钥加密发送给服务器,双方据此生成相同的对称密钥。后续通信使用对称加密确保高效性和安全性。同时,数字证书验证服务器身份,防止中间人攻击;哈希算法和数字签名确保数据完整性,防止篡改。整个流程保障了身份认证、数据加密和完整性保护。
|
19天前
|
网络协议 安全 区块链
DNS+:互联网的下一个十年,为什么域名系统正在重新定义数字生态? ——解读《“DNS+”发展白皮书(2023)》
DNS+标志着域名系统从基础寻址工具向融合技术、业态与治理的数字生态中枢转变。通过与IPv6、AI和区块链结合,DNS实现了智能调度、加密传输等新功能,支持工业互联网、Web3及万物互联场景。当前,中国IPv6用户达7.6亿,全球DNSSEC支持率三年增长80%,展现了其快速发展态势。然而,DNS+仍面临安全威胁、技术普惠瓶颈及生态协同挑战。未来,需推动零信任DNS模型、加强威胁情报共享,并加速标准制定,以筑牢数字时代网络根基,实现更安全、高效的数字生态建设。
71 2
|
2月前
|
域名解析 网络协议 网络安全
SSL证书验证全攻略:DNS/HTTP/手动解析怎么选?
SSL证书在网络安全中至关重要,1Panel提供三种验证方式:DNS验证、HTTP验证和手动解析。DNS验证便捷,适合CDN网站;HTTP验证快速,需服务器在线;手动解析灵活,但操作复杂。根据需求选择合适确认方式,定期检查证书状态。
353 2
|
4月前
|
域名解析 存储 缓存
深入学习 DNS 域名解析
在平时工作中相信大家都离不开 DNS 解析,因为 DNS 解析是互联网访问的第一步,无论是使用笔记本浏览器访问网络还是打开手机APP的时候,访问网络资源的第一步必然要经过DNS解析流程。
|
4月前
|
网络协议
【Azure App Service】App Service 如何配置私网域名以及证书呢?
本文解答了关于 Azure App Service 如何配置私网域名及证书的问题。App Service 不支持私网域名,自定义域名需配置在公共 DNS 服务器上。文章引用官方文档详细说明了映射自定义 DNS 的步骤,并附带参考资料链接,帮助用户深入了解相关配置方法。
|
5月前
|
域名解析 安全 网络协议
免费通配符SSL证书不限制申请-2025最新渠道解析
在网络安全至关重要的今天,通配符SSL证书因其能保护主域名及所有二级子域名而备受青睐。本文解析2025年最新免费通配符SSL证书申请渠道,重点介绍JoySSL提供的不限量免费证书。通过简单步骤,用户可轻松申请并安装证书,确保网站安全。注意及时续签和政策变动,以保障长期稳定使用。
|
4月前
|
人工智能
2024年阿里云域名热搜词大盘点
2024年阿里云域名热搜词大盘点
146 3
|
5月前
|
域名解析 弹性计算 负载均衡
新手上云教程参考:阿里云服务器租用、域名注册、备案及域名解析流程图文教程
对于想要在阿里云上搭建网站或应用的用户来说,购买阿里云服务器和注册域名,绑定以及备案的流程至关重要。本文将以图文形式为您介绍阿里云服务器购买、域名注册、备案及绑定的全流程,以供参考,帮助用户轻松上手。

推荐镜像

更多
  • DNS