Prawie 2,5 roku temu pisałem o dopiero raczkującym Certification Authority Authorization (CAA). Dziś ten mechanizm bezpieczeństwa zaczyna chodzić i staje się nieodłącznym elementem wydawania certyfikatów SSL.
W tym wpisie nie będę szczegółowo wyjaśniał jak działa CAA. Jeżeli chcesz to wiedzieć zachęcam do zapoznania się z moim wcześniejszym wpisem.
Sprawdzanie CAA obowiązkiem
Właściwie to mechanizm CAA stanął na nogi już w marcu tego roku kiedy to na CABForum przyjęto głosowanie numer 187 (później wprowadzono jeszcze poprawki w głosowaniu numer 195) o wszystko mówiącym tytule Make CAA Checking Mandatory. Już od wtedy było wiadomo, że od 8 września 2017 roku wszystkie urzędy certyfikacji (certification authority – CA), działające w zgodzie z zapisami CABForum’owego dokumentu Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, przed wydaniem certyfikatu SSL będą musiały odpytywać serwery DNS obsługujące domenę która do tegoż certyfikatu trafi.
Wybierz swoje CA
Jednym z głównych problemów bezpieczeństwa zarzucanych szeroko działąjącemu obecnie systemowi WebPKI jest mnogość urzędów certyfikacji którym ufają przeglądarki. Liczbę certyfikatów głównych którym zawierzają Chrome, Firefox, Edge czy Safari podaje się obecnie w setkach i nic nie wskazuje na to, że w najbliższym czasie będzie ich mniej.
Większość z tych certyfikatów głównych może (pośrednio) być wystawcą certyfikatu SSL dla dowolnej domeny, a co oczywiste, im więcej szans na popełnienie błędu (jakim jest nieautoryzowane wydanie certyfikatu SSL), tym częściej będzie on popełniany.
Dzięki CAA właściciel danej domeny może wskazać, że tylko dany urząd certyfikacji (lub urzędy certyfikacji) będzie mógł wydać certyfikat SSL dla jego domeny. W ten sposób może on z setek urzędów certyfikacji wybrać ten jeden który uważa za odpowiedni i tym samym znacznie ograniczyć możliwość wykorzystania swojej domeny do niecnych celów.
CAA
Jak skonfigurować CAA?
Na przykładach (dla typowego pliku strefy DNS):
- Tylko CA Certum może wydawać certyfikaty SSL, zarówno te zwykłe i jak i te typu wildcard, dla domeny kryptosfera.pl:
kryptosfera.pl. IN CAA 0 issue "certum.pl"
- Tylko CA Let’s Encrypt może wydawać certyfikaty SSL dla domeny kryptosfera.pl i jednocześnie żadne CA nie może wydawać certyfikatów SSL typu wildcard dla domeny kryptosfera.pl:
kryptosfera.pl. IN CAA 0 issue "letsencrypt.org"
kryptosfera.pl. IN CAA 0 issuewild ";"
- Tylko CA Let’s Encrypt może wydawać certyfikaty SSL, niebędące typu wildcard, dla domeny kryptosfera.pl i jednocześnie tylko CA Certum może wydawać certyfikaty SSL, typu wildcard, dla domeny kryptosfera.pl:
kryptosfera.pl. IN CAA 0 issue "letsencrypt.org"
kryptosfera.pl. IN CAA 0 issuewild "certum.pl"
- Żadne CA nie może wydawać certyfikatów SSL dla domeny kryptosfera.pl, bez znaczenia czy jest to certyfikat typu wildcard czy nie:
kryptosfera.pl. IN CAA 0 issue ";"
- Jeżeli nie chcemy wprowadzać żadnego z powyższych ograniczeń dla swojej domeny to po prostu nie dodajemy rekordu CAA do strefy DNS naszej domeny.
Jaki wpis CAA jest właściwy dla mojego urzędu certyfikacji?
Każdy urząd certyfikacji powinien jasno określić jaką nazwę będzie porównywał podczas sprawdzania rekordu CAA. Jak zauważyliście na powyższych przykładach dla Certum będzie to certum.pl, a dla Let’s Encrypt letsencrypt.org. Dla pozostałych urzędów certyfikacji najpewniejszą opcją na sprawdzenie akceptowanej nazwy jest jej weryfikacja w Kodeksie Postępowania Certyfikacyjnego (Certification Practice Statement).
