当前位置:首页 > 新闻资讯 > 资讯详情
DNS记录可防止未经授权的SSL证书
来源:网络发布:2017-04-18编辑:管理员浏览量:12540

爱名网(22.cn)4月18日消息,公开信任的证书颁发机构,将允许域所有者指定谁允许为其域发布SSL证书,开始尊重特定的域名系统(DNS)记录.

证书颁发机构授权(CAA)DNS记录在2013年成为标准,但是在世界上没有太多的影响力,因为证书颁发机构(CA)没有义务遵守这些规则。

该记录允许域所有者,允许为该域发布SSL/TLS证书的CA。这样做的原因是为了限制未经授权的证书颁发,如果CA被泄密或有破坏者,这可能是意外的或故意的。

根据由CA/浏览器论坛创建的现有行业规则,一个组合主要是浏览器供应商和CA的组织,证书颁发机构必须验证SSL证书请求源自域所有者本身或控制这些域的人员。

此所有权验证通常是自动的,并且涉及要求域所有者创建具有特定值的DNSTXT记录,或者在其站点结构中的特定位置上传授权码,从而证明其对域的控制。

然而,黑客进入网站也可能使攻击者有能力通过此类验证,并从任何证书颁发机构请求受侵害域的有效证书。这样的证书可以稍后被用于对用户发起中间人攻击或将其引导到网络钓鱼页面。

CAA记录背后的目标是限制谁可以为域颁发证书。例如,Google的CAA记录是:google.com 86400 IN CAA 0 "symantec.com."。这意味着Google专门授权Symantec颁发其主域名证书。

CAA记录还支持一个名为“iodef”的标签,CA也符合要求。此标记允许域所有者指定电子邮件地址或URL,CA可以报告与域的CAA策略冲突的证书颁发请求。

例如,如果一个CA收到对域X的证书的请求,但域X具有授权不同的CA颁发证书的CAA记录,则第一个CA将可疑请求报告发送给电子邮件地址或CAA中指定的URLiodef属性。这将提醒域名所有者,其他人可能尝试未经授权获得证书。

安全研究员和HTTPS部署专家ScottHelme在一篇博文中说:“CAA是我们防御的另一个层面。“我们不用担心供应商锁定,因为记录只能在发行时进行检查,设置起来不太简单,没有什么可失去的。”

(文章转载自网络,有版权问题请联系邮箱3235655226@qq.com)

0

关注我们

关注爱名网服务号

服务与支持

客服热线/企业QQ:
400-660-2522
服务时间
(8:30-21:00)
域名管理面板 在线提问 文档下载
Copyright  ©  2008-2018 浙江贰贰网络有限公司 (22net, Inc.) 版权所有
地址:浙江省杭州市西湖区紫霞街176号杭州互联网创新创业园2号楼11楼(310030)  客服电话:400-660-2522  座机1:0571-87756886  座机2:0571-88276008  传真:0571-88276022
《中华人民共和国增值电信业务经营许可证》  ISP证编号:浙B2-20100455  浙ICP证B2-20090126  浙公网安备 33010002000118号

国家域名注册服务投诉中心投诉受理电话:010-58813000  邮件supervise@cnnic.cn  传真:010-58812666

CNNIC认证 .COM/.NET注册局认证 VeriSign SSL安全网站证书 ICANN认证 《中华人民共和国增值电信业务经营许可证》ISP证编号:浙B2-20100455 域名注册服务机构服务水平星级证书 信息产业部域名注册服务批文号:工信部电函[2010]66号