作者 kathy 的所有文章

新制度:憑證機構將會被強制檢查CAA紀錄

你知道數位憑證 (SSL) 的重要性嗎?為什麼我們都會建議每個網站最好都需要使用呢?它就好比一份文件的簽名,經過簽名的背書我們信任這份文件的內容,網站也是一樣,需要有公信力的憑證機構 (Certificate Authority,CA) 來幫網站背書。

任何一個憑證機構 (Certificate Authority,CA) 都有能力影響整個網際網路的安全,目前全球約有數百家憑證機構,為了要有更嚴謹的網路資訊安全,從2017年9月8日起,所有憑證頒發機構都必須強制實施CAA檢查,他會記錄哪些證書頒發機構被允許頒發該網域的證書,好處是指定的憑證機構是經過審核的,甚至能避免憑證機構在某些錯誤的情況下簽發憑證。

簡單來說,CAA 紀錄是一種新的 DNS 紀錄,裡面會記載此網域SSL是由哪個憑證機構所頒發,當我們訪問網站時,我們就可以來驗證此網站SSL是否是正常與合法的狀態。

實施CAA檢查的憑證有以下好處:

  1. 可以使用CAA記錄來檢測可能被錯誤頒發的憑證
  2. 避免偽造的憑證可用來攔截正統網站的流量,執行中間人攻擊
  3. 加強了客戶對網站的信任感,客戶在網站中消費時也會比較安心

依照官方說明預計cPanel & WHM 66.0版用戶將可以在cPanel內增設紀錄,且主機服務同時支援CAA。

目前遠振資訊的服務版本為cPanel & WHM 64.0 (build 36),依照官方說明預計cPanel & WHM 66.0版用戶將可以在cPanel內增設紀錄,且主機服務同時支援CAA,未來遠振的客戶可以自行在cPanel後台選擇是否要使用CAA授權的功能。

如果想要知道更進階的查詢CAA紀錄,可以參考以下方式:CAA紀錄是新一代的紀錄,並非所有的工具都能支援查詢,目前並未有標準查詢CAA紀錄的語法,如要查詢可以使用dig 查詢域的CAA紀錄,查詢需要在後方指定類型 type257 。

# dig google.com type257

; <<>> DiG 9.9.4-RedHat-9.9.4-50.el7_3.1 <<>> google.com type257

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17257

;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 5

 

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:

;google.com.         IN   CAA

 

;; ANSWER SECTION:

google.com.    14691  IN  CAA  0 issue “pki.goog”

google.com.    14691  IN  CAA  0 issue “symantec.com”

 

;; AUTHORITY SECTION:

google.com.   74944  IN  NS  ns3.google.com.

google.com.   74944  IN  NS  ns2.google.com.

google.com.   74944  IN  NS  ns4.google.com.

google.com.   74944  IN  NS  ns1.google.com.

 

;; ADDITIONAL SECTION:

ns1.google.com.   75141  IN  A  216.239.32.10

ns3.google.com.   75141  IN  A  216.239.36.10

ns2.google.com.   75141  IN  A  216.239.34.10

ns4.google.com.   75141  IN  A  216.239.38.10