ugrás a tartalomhoz

Bevezetésre került a CAA rekord!

Témakör: Tárhely

Több mint száz olyan szervezet létezik, ú.n. tanúsítványhivatal, melyek a domain azonososságának biztosítására SSL tanúsítványokat bocsáthatnak ki. Fontos biztonsági intézkedés, hogy 2017. szeptemberétől ezek az SSL tanúsítványt kiállító szervezetek megkövetelik a CAA (Certification Authority Authorization) rekord használatát.

Hogy mire jó a CAA rekord?

Beállítása egy egyszerű módja webhelyünk biztonságának javítására. Itt határozhatjuk meg, hogy mely tanúsítványhatóságok adhatnak ki SSL tanúsítványt az adott domain számára és segíti az értesítési szabályok feltüntetését, ha valaki tanúsítványt kér egy nem engedélyezett tanúsító hatóságtól.

Növeljük weboldalunk biztonságát!

Tehát a tanúsítvány kiadása előtt ellenőrzik a domain CAA rekordját és amennyiben beállítjuk azt, csak a rekordokban felsorolt hatóságok adhatnak tanúsítványokat a domainre és megtagadják a kiadását, ha a CAA-rekord nem engedélyezi az adott hatóságot. Ezzel csökkenthetjük a bizonytalan SSL tanúsítványok használatából eredő kockázatokat. Fontos, hogy ha nincs CAA rekord felvéve, akkor bármelyik hatóság engedélyt adhat ki a domainnek.

A rekordot a DNS beállításoknál vehetjük fel. A beállításnál vegyük figyelembe, hogy a CAA rekordokat az aldomainek is öröklik!
A DNS CAA rekordjára vonatkozó RFC 6844 szabványt itt találjuk meg: https://tools.ietf.org/html/rfc6844

Példák:

  1. A Letsencrypt.org CA tanúsítvány kibocsátó esetén:
         Név                    Típus         Tartalom
    example.com CAA 0 issue "letsencrypt.org"
  2. A COMODO CA tanúsítvány kibocsátó esetén:
         Név                    Típus         Tartalom
    example.com CAA 0 issuewild "comodoca.com"
  3. Ha hibajelzéshez szeretnénk elérhetőséget közölni:
         Név                    Típus         Tartalom
    example.com CAA 0 iodef "mailto:certissues@example.com"

A CAA rekord lényege a tartalom mezőben van. Ezeknek a jelentése a következő:

  • Az első elem a 'critical flag', azaz egy kritikus jelzés aminek 0 (nem kritikus) vagy 1 (kritikus) értéke használatos. A kritikus jelzés esetén a kibocsátónak (CA) figyelembe kell venni a jelzett tulajdonságot.
  • A második elem a 'tag', a tulajdonság ami egy szöveges karakterláncból áll. Az RFC három lehetséges tulajdonságot említ: issue (egyetlen tanúsítványra vonatkozik), issuewild (az összes aldomainre vonatkozik) és az iodef (ami egy hibabejelentési információt, pl. URL-t vagy email címet tartalmaz).
  • A harmadik elem a 'value', ami lehet a kibocsátó megnevezése, vagy egyéb szükséges információ, mint a hibabejelentés lehetősége.