DNS記錄可防止 未經授權的SSL證書
公開信任的憑證授權,將允許域所有者指定誰允許為其域發佈SSL證書,開始尊重特定的網域名稱系統(DNS)記錄.
憑證授權授權(CAA)DNS記錄在2013年成為標準,但是在世界上沒有太多的影響力,因為憑證授權(CA)沒有義務遵守這些規則。
該記錄允許域所有者,允許為該域發佈SSL/TLS證書的CA。這樣做的原因是為了限制未經授權的證書頒發,如果CA被洩密或有破壞者,這可能是意外的或故意的。
根據由CA/流覽器論壇創建的現有行業規則,一個組合主要是流覽器供應商和CA的組織,憑證授權必須驗證SSL證書請求源自域所有者本身或控制這些域的人員。
此所有權驗證通常是自動的,並且涉及要求域所有者創建具有特定值的DNSTXT記錄,或者在其網站結構中的特定位置上傳授權碼,從而證明其對域的控制。
然而,駭客進入網站也可能使攻擊者有能力通過此類驗證,並從任何憑證授權請求受侵害域的有效證書。這樣的證書可以稍後被用於對用戶發起中間人攻擊或將其引導到網路釣魚頁面。
CAA記錄背後的目標是限制誰可以為域頒發證書。例如,Google的CAA記錄是:google.com 86400 IN CAA 0 "symantec.com."。這意味著Google專門授權Symantec頒發其主功能變數名稱證書。
CAA記錄還支援一個名為“iodef”的標籤,CA也符合要求。此標記允許域所有者指定電子郵寄地址或URL,CA可以報告與域的CAA策略衝突的證書頒發請求。
例如,如果一個CA收到對域X的證書的請求,但域X具有授權不同的CA頒發證書的CAA記錄,則第一個CA將可疑請求報告發送給電子郵寄地址或CAA中指定的URLiodef屬性。這將提醒功能變數名稱所有者,其他人可能嘗試未經授權獲得證書。
安全研究員和HTTPS部署專家ScottHelme在一篇博文中說:“CAA是我們防禦的另一個層面。“我們不用擔心供應商鎖定,因為記錄只能在發行時進行檢查,設置起來不太簡單,沒有什麼可失去的。”