淺談 DNS Certification Authority Authorization (CAA)

最近在將 VPS 從 DigitalOcean 轉移到 Linode 時,發現了 DNS CAA 這個規範,研究了以後,覺得應該是未來改善 https 安全性很有用的一個規範,因此想簡單的介紹一下。

在安全是一個越來越重要的議題下,大部分的網站都會使用 https 來確保使用者與網站之間資料的隱私與完整性,那麼,選擇了一個可靠的憑證機構是否就代表沒問題了?不盡然,Symantec 誤發 google.com 延伸認證 就是一個例子,除了請該憑證機構撤銷外,我們還可以採取什麼措施來保護自己的網站呢?DNS CAA 就是其中一個方法。

DNS CAA 是 DNS Certification Authority Authorization 的縮寫,定義在 RFC 6844 中,最主要的目的就是透過 DNS CAA Record 來確保該域名的憑證只能由指定的憑證機構發出,其格式為

<domain> CAA <flag> <tag> <value>

  • flag:Issuer Critical,目前支援 0 或 1
    • If set to ‘1’, indicates that the corresponding property tag MUST be understood if the semantics of the CAA record are to be correctly interpreted by an issuer.
  • tag 目前支援三種值,它們代表的意義如下
    • issue:該憑證機構可以發出該域名的憑證,含 wildcard 憑證
    • issuewild:該憑證機構僅能發出該域名的 wildcard 憑證
    • iodef:當發生憑證機構不符時,需要回報的網址
  • value:憑證機構,如:letsencrypt.org

當域名不存在 record 中時,則會向上繼承,而如果子域名有 record 時,則會覆蓋,可參考範例一和二。

範例一:

example.com. CAA 0 issue “letsencrypt.org”

這代表 example.com 的憑證僅能由 letsencrypt.org 所發出

雖然 apple.example.com, banana.example.com 沒有在 record 中,但因為 example.com 有在 record 中,因此這兩個域名的憑證也僅能由 letsencrypt.org 發出

範例二:

example.com. CAA 0 issue “letsencrypt.org”

example.com. CAA 0 issue “comodo.com”

apple.example.com CAA 0 issue “symantec.com”

這代表 example.com 的憑證能由 letsencrypt.org 或 comodo.com 發出,banana.example, car.example.com 亦是,但 apple.example.com 僅能由 symantec.com 發出

範例三:

example.com. CAA 0 issue “letsencrypt.org”

example.com. CAA 0 issuewild “comodo.com”

example.com. CAA 0 iodef “http://iodef.example.com”

這代表 example.com 的憑證僅能由 letsencrypt.org,而 example.com 的 wildcard 憑證僅能由 comodo.com 發出,當發生不符時,則會回報給 http://iodef.example.com

以上就是幾個範例,並不會很複雜,希望對你有幫助,而介紹的部分也就告一個段落囉  🙂