از CAA DNS برای صدور گواهینامه های TLS استفاده كنید.
1 CAA DNS چیست؟
CAA نوعی از پرونده DNS است كه به CA می گوید كه آیا مجوز صادر كند یا نه. [19659004] به عبارت دیگر ، شما به جهانیان اطلاع می دهید که چه کسی باید گواهی نامه دامنه SSL / TLS شما را صادر کند.
اجرای CAA در پایان سال 2017 اجباری شد ، بنابراین نسبتاً جدید است و کمتر از 5 درصد سایتهای محبوب این فناوری را پیاده سازی کرده اند.
بیایید به یک مثال نگاه کنیم – Geekflare مالک سایتی به نام "gf.dev" است که دارای سابقه CAA زیر است. [19659007] gf.dev. 3586 در CAA 0 شماره "digicert.com؛ cansignhttpexchanges = بله"
gf.dev 3586 در CAA 0 صادر کننده "comodoca.com"
gf.dev 3586 در CAA 0 شماره "comodoca.com"
gf.dev 3586 در CAA 0 صادر کننده "digicert.com؛ cansignhttpexchanges = بله"
gf.dev 3586 در CAA 0 صادر "letsencrypt.org"
gf.dev 3586 IN CAA 0 شماره "letsencrypt.org"
با نگاهی به نتایج فوق ، فقط می توانم مجوز صادر شده توسط رمزگذاری DigiCert ، Comodo و Let's را دریافت کنم.
اگر من از Thawte یا یکی دیگر از مجوزهای صدور گواهی بخواهم برای صدور گواهینامه gf صادر کنند.
علاوه بر این ، اگر توجه کنید ، متوجه می شوید که برخی از ورودی ها دارای مشکل هستند و برخی موارد جدید.
بیایید دریابیم موضوع چیست.
- شماره – دستور می دهد CA را صادر کند. مجوز فقط برای این دامنه.
- صادر کننده – CA می تواند یک مجوز گروهی صادر کند تا بتوان از آن در یک دامنه یا زیر دامنه استفاده کرد.
سابقه CAA همچنین از یدف (قالب تبادل شرح شیء حادثه) پشتیبانی می کند ، که به CA امکان می دهد گزارش تخلف را به آدرس ایمیل یا اطلاعات تماس مشخص شده ارسال کند.
2 چه اتفاقی می افتد که پرونده CAA پیدا نمی شود؟
اگر هیچ سابقه CAA در این دامنه وجود ندارد ، بنابراین هر کسی می تواند CSR را برای این دامنه ایجاد کند و یک گواهی نامه را امضا کند که توسط هر CA منعقد شده است.
این یک خطر امنیتی است.
اکنون مشخص است؟
چندین اختصار وجود دارد که من در بالا استفاده کردم.
بیایید ببینیم منظور آنها چیست. (فقط در مورد)
- DNS – سیستم نام دامنه
- CA – مرجع صدور گواهینامه
- CAA – مجوز مجوز صدور مجوز
- TLS – امنیت لایه حمل و نقل
- SSL – لایه سوکت ایمن
3 نحوه ثبت سوابق DNS CAA؟
راه های مختلفی برای تأیید سابقه CAA وجود دارد.
اگر نمی خواهید ترمینال خود را ترک کنید ، می توانید با استفاده از دستور Dig: این را تأیید کنید:
dig caa $ TVOISAIT.COM
مثال geekflare.com
# dig caa geekflare.com
؛ << >> DiG 9.11.3-1ubuntu1.8-Ubuntu << >> caa geekflare.com
؛؛ گزینه های جهانی: + cmd
؛؛ جواب دادم:
؛؛ - >> HEADER << - کد پستی: QUERY ، وضعیت: NOERROR ، شناسه: 54430
؛؛ پرچم ها: qr rd ra؛ QUERY: 1 ، پاسخ: 6 ، قدرت: 0 ، اضافی: 1
؛؛ PSEUDOSECTION OPT:
؛ EDNS: نسخه: 0 ، پرچم ها:؛ udp: 65494
؛؛ بخش سؤال:
؛ geekflare.com. در CAA
؛؛ بخش پاسخ:
geekflare.com. 3600 در CAA 0 صادر کننده "comodoca.com"
geekflare.com. 3600 در CAA 0 صادر "letsencrypt.org"
geekflare.com. 3600 در CAA 0 شماره "comodoca.com"
geekflare.com. 3600 در CAA 0 شماره "digicert.com؛ cansignhttpexchanges = بله"
geekflare.com. 3600 در CAA 0 شماره "letsencrypt.org"
geekflare.com. 3600 در CAA 0 صادر کننده "digicert.com؛ cansignhttpexchanges = بله"
؛؛ زمان پرس و جو: 7 msec
؛؛ سرور: 127.0.0.53 # 53 (127.0.0.53)
؛؛ WHEN: سه شنبه 08 اکتبر 07:12:21 UTC 2019
؛؛ MSG SIZE rcvd: 298 اگر می خواهید این مسئله را از راه دور بررسی کنید ، می توانید از ابزار آنلاین CAA Tester DNS استفاده کنید.
4 چگونه می توانم یک ضبط CAA را اضافه کنم؟
از لحاظ فنی ، این کار به همان روش اضافه می شود که سایر رکوردها را اضافه کنید DNS ، مانند A ، NS ، CNAME و غیره.
اگر از Cloudflare استفاده می کنید ، به برگه DNS بروید >> یک ضبط اضافه کنید و نوع CAA را انتخاب کنید.
برای GoDaddy ، به مدیریت DNS بروید و [19659037] اگر نمی دانید چگونه این مطلب را اضافه کنید ، همیشه می توانید برای کمک به DNS / ارائه دهنده میزبانی خود تماس بگیرید.
نتیجه گیری
اگر در حال حاضر از این استفاده نمی کنید در فناوری ، شما باید از یک ضبط CAA برای افزودن سطح امنیت دامنه استفاده کنید.
اضافه کردن رکورد CAA هیچ هزینه ای برای شما ندارد.