防止域名证书劫持,阿里云解析率先支持CAA

简介: 2017年3月,CA浏览器论坛投票通过187号提案,要求CA机构从2017年9月8日起执行CAA强制性检查。CAA标准使得网站所有者,仅授权指定CA机构为自己的域名颁发证书,以防止HTTPS证书错误签发。

背景

2015年发生过一起著名的沃通误签发GitHub域名SSL证书事件,用户在使用schrauger.github.com以及schrauger.github.io的个人子页面权限,获取沃通信任后,成功拿到了github.com、github.io、www.github.io这几个域名的证书。此时,如果把用户的访问流量劫持到本地服务器,那么浏览器就能访问位于本地的伪造GitHub钓鱼网站,HTTPS安全加密通信将没有任何作用。
据权威部门统计,全球约有上百个证书颁发机构(CA)有权发放HTTPS证书,证明您网站的身份。但是证书颁发机构由于某些原因,往往会被浏览器列入"黑名单" ,并公开宣布将不再信任其签发的https证书。所以当你访问到部署了这些证书的网站时,部分浏览器比如谷歌、火狐会提示"https证书不受信任",浏览器地址栏的https也会被划上一条小红线,网页不能访问,如图所示。

image

今年6月1日,《中华人民共和国网络安全法》正式实施,标志着网络安全已得到国家的高度重视。其中,第二十一条规定,网络运营者有承担采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施的义务。因此,迫切需要一项公共标准来授权域名所有者指定允许为其域名颁发HTTPS证书的机构。
CAA(Certification Authority Authorization,即证书颁发机构授权)是一项防止HTTPS证书错误签发的安全措施,于2013年1月通过互联网工程任务组(IETF)的批准列为RFC6844,2017年3月,CA浏览器论坛投票通过187号提案,要求CA机构从2017年9月8日起执行CAA强制性检查。
CAA标准使得网站所有者,仅授权指定CA机构为自己的域名颁发证书,以防止HTTPS证书错误签发。
为网站域名设置CAA记录也成为了提高网站安全性的方法之一。
目前,阿里云云解析DNS作为国内最大的权威DNS服务商,已率先支持CAA记录类型。那么怎样设置CAA记录?CAA记录具体表示什么意思呢?

CAA格式

CAA记录的格式为:[flag] [tag] [value],是由一个标志字节的[flag]和一个被称为属性的标签[tag]-值[value]对组成,可以将多个CAA字段添加到域名的DNS记录中。

字段
说明
flag
0-255之间的无符号整数,用于认证机构限制标志,通常情况下填0,表示如果颁发证书机构无法识别本条信息,就忽略。
tag
目前有三种issue、issuewild、iodef。
  • issue表示:CA授权单个证书颁发机构发布的任何类型的域名证书;
  • issuewild表示:CA授权单个证书颁发机构发布主机名的通配符证书;
  • iodef表示:CA可以将违规的颁发记录URL发送给某个电子邮箱;
value
CA的域名或用于违规通知的电子邮箱;

CAA记录示例

例如:我只允许midengd.xyz的证书是symantec.com颁发的,并且如果有违规通知我的邮箱admin@midengd.xyz。

登录阿里云云解析控制台,添加如下两条解析记录,如图所示:

@ 0 issue "symantec.com"
@ 0 iodef "mailto:admin@midengd.xyz"

image.png | center | 704x226

CAA记录查询

使用 “dig 域名 记录类型”来进行查询

sh-3.2# dig midengd.xyz caa

; <<>> DiG 9.10.5rc1 <<>> midengd.xyz caa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26714
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;midengd.xyz. IN CAA

;; ANSWER SECTION:
midengd.xyz. 600 IN CAA 0 iodef "mailto:admin@midengd.xyz"
midengd.xyz. 600 IN CAA 0 issue "symantec.com"

;; Query time: 577 msec
;; SERVER: 30.26.8.5#53(30.26.8.5)
;; WHEN: Tue Dec 05 18:55:48 CST 2017
;; MSG SIZE rcvd: 114

未来发展前景

自今年4月份决定,所有CA机构颁发SSL证书前必须要求对颁发证书对象的域名进行CAA检测以来,以将近8个月的时间。目前,海外Route53、dyn、Cloudflare等主要DNS服务商均已支持CAA记录,但是国内的普及程度还没有跟上步伐。

加强网络安全需要从一点一滴开始,不放过任何一个风险点才能不给不法分子有机可乘。随着社会网络安全意识的整体提高,CAA记录作为加强网站安全的措施之一,必将会成为金融机构、电子政务、公共服务等行业的一项网络安全基准要求,也会有越来越多的DNS服务商的支持CAA记录,CAA普及也只是时间问题。

相关实践学习
基于函数计算快速搭建Hexo博客系统
本场景介绍如何使用阿里云函数计算服务命令行工具快速搭建一个Hexo博客。
目录
相关文章
|
12天前
|
缓存 网络协议 安全
【计算巢】DNS 解析过程详解:域名如何转换为 IP 地址
【5月更文挑战第31天】DNS(域名系统)将人类可读的域名转换为IP地址,涉及本地DNS缓存、层次化DNS服务器系统,包括根DNS、顶级域名DNS和权威DNS。当查询域名时,通过DNS服务器间的交互找到对应IP并返回给浏览器。Python示例展示了DNS查询过程。尽管DNS面临安全挑战,如欺骗和缓存中毒,采取安全措施可确保其稳定性和安全性。它是互联网的重要基础,连接域名与IP,支持便捷的网络访问。
|
2天前
|
存储 机器学习/深度学习 编解码
深度解析阿里云服务器计算型c7与计算型c8y实例区别与选择参考
在阿里云提供的众多计算型云服务器实例规格中,计算型c7和计算型c8y实例是两款备受关注的云服务器规格。主要适用于网站应用、批量计算、视频编码等各种类型和规模的企业级应用,对于初次接触阿里云服务器的新手用户来说,可能并不是很清楚他们之间的区别,因此可能不知道怎么选择。本文将从实例的架构、处理器、存储与网络能力、使用场景、指标数据、收费标准以及实时活动价格等多个维度,对计算型c7和计算型c8y实例进行深度解析,以供参考和选择。
深度解析阿里云服务器计算型c7与计算型c8y实例区别与选择参考
|
2天前
|
运维 网络协议 JavaScript
Serverless 应用引擎产品使用合集之绑定自定义域名是否要确定解析设置
阿里云Serverless 应用引擎(SAE)提供了完整的微服务应用生命周期管理能力,包括应用部署、服务治理、开发运维、资源管理等功能,并通过扩展功能支持多环境管理、API Gateway、事件驱动等高级应用场景,帮助企业快速构建、部署、运维和扩展微服务架构,实现Serverless化的应用部署与运维模式。以下是对SAE产品使用合集的概述,包括应用管理、服务治理、开发运维、资源管理等方面。
|
5天前
|
网络安全
阿里云申请Symantec 免费版 SSL证书提示 缺少必要的 审核材料 的解决办法
阿里云申请Symantec 免费版 SSL证书提示 缺少必要的 审核材料 的解决办法
|
7天前
|
域名解析 Docker 容器
使用docker+ddns 实现动态域名解析
使用docker+ddns 实现动态域名解析
阿里云 域名过户
阿里云 域名过户
|
8天前
|
网络协议 安全 应用服务中间件
阿里云申请免费ssl证书并配置nginx
阿里云申请免费ssl证书并配置nginx
|
12天前
|
域名解析 缓存 网络协议
|
13天前
|
云安全 算法 数据建模
阿里云SSL证书免费版申请流程,收费版证书收费标准及证书类型选择参考
SSL证书是实现网站https访问必须购买的云安全类产品,现在很多用户在网站做好之后,下一步通常都是给网站域名购买SSL证书实现网站的https访问,阿里云提供申请SSL证书服务,现在每个阿里云个人或企业用户(以实名认证为准)每年可以一次性申请20张免费Digicert DV单域名试用证书(以下简称免费证书),本文为大家介绍具体的申请流程和收费证书的最新收费标准以及不同种类的证书选择参考。
阿里云SSL证书免费版申请流程,收费版证书收费标准及证书类型选择参考
|
14天前
|
域名解析 网络协议 安全
【域名解析DNS专栏】未来趋势:DNS解析技术的新发展与挑战
【5月更文挑战第30天】随着AI和物联网的发展,DNS解析正向智能化和安全增强迈进,利用大数据和DNSSEC保障速度与安全。同时,匿名解析技术将提升用户隐私保护。然而,面对复杂网络环境、性能与延迟挑战及国际标准兼容性问题,DNS技术需不断创新以应对未来挑战。Python示例展示了DNSSEC验证查询。DNS解析的持续进化对互联网的稳定和隐私至关重要。

推荐镜像

更多