bisend

DNS记录可防止 未经授权的SSL证书

2017-04-13 14:27 来源: 编辑: Flora 发表在 SSL, 新闻, 网络安全 我要评论

证书颁发机构授权(CAA)DNS记录在2013年成为标准,但是在世界上没有太多的影响力,因为证书颁发机构(CA)没有义务遵守这些规则。

该记录允许域所有者,允许为该域发布SSL/TLS证书的CA。这样做的原因是为了限制未经授权的证书颁发,如果CA被泄密或有破坏者,这可能是意外的或故意的。

根据由CA/浏览器论坛创建的现有行业规则,一个组合主要是浏览器供应商和CA的组织,证书颁发机构必须验证SSL证书请求源自域所有者本身或控制这些域的人员。

此所有权验证通常是自动的,并且涉及要求域所有者创建具有特定值的DNSTXT记录,或者在其站点结构中的特定位置上传授权码,从而证明其对域的控制。

然而,黑客进入网站也可能使攻击者有能力通过此类验证,并从任何证书颁发机构请求受侵害域的有效证书。这样的证书可以稍后被用于对用户发起中间人攻击或将其引导到网络钓鱼页面。

CAA记录背后的目标是限制谁可以为域颁发证书。例如,Google的CAA记录是:google.com 86400 IN CAA 0 "symantec.com."。这意味着Google专门授权Symantec颁发其主域名证书。

CAA记录还支持一个名为“iodef”的标签,CA也符合要求。此标记允许域所有者指定电子邮件地址或URL,CA可以报告与域的CAA策略冲突的证书颁发请求。

例如,如果一个CA收到对域X的证书的请求,但域X具有授权不同的CA颁发证书的CAA记录,则第一个CA将可疑请求报告发送给电子邮件地址或CAA中指定的URLiodef属性。这将提醒域名所有者,其他人可能尝试未经授权获得证书。

安全研究员和HTTPS部署专家ScottHelme在一篇博文中说:“CAA是我们防御的另一个层面。“我们不用担心供应商锁定,因为记录只能在发行时进行检查,设置起来不太简单,没有什么可失去的。”

聚焦云计算,扫描二维码,关注HostUCan云计算

相关文章

爱尔兰本周五将会对苹果数据中心做出裁决
06/21
苹果计划在爱尔兰Athenry建立耗资达8.5亿欧元的数据中心一直进展不顺,原本将是苹果第一个欧洲数据中心,但如今苹果在丹麦的数据中心都已经接近完工了,爱尔兰Athenry的数据中心还没有等来放行的“绿灯”,这一项目的完工时间则更是无从谈起。
美国两大数据中心运营商兼并意味着什么?
06/14
日前,Digital Realty公司宣布将与美国主要数据中心运营商DuPont Fabros公司合并。这两家数据中心运营商都是行业的领导者,这一举措将使这两家美国最大的数据中心空间供应商得到了更好的结合。DuPont Fabros公司目前拥有12个数据中心,其中98%已对外租赁,总供电容量为302MW。
库克MIT演讲:机器像人不可怕,怕的是人像机器一样思考
06/12
“我不担心人工智能让计算机像人类一样思考问题,我更担心的是人类像计算机那样思考问题——摒弃同情心和价值观,并且不计后果。”
青云QingCloud完成10.8亿元人民币D轮融资
06/12
青云QingCloud日前宣布完成金额为10.8亿元人民币的D轮融资。
强化公有云安全的四大要素
06/07
据预测,到2020年,云有望占企业IT基础设施和软件支出的70%。然而,快速扩张的公有云的使用正将企业曝露于新的安全威胁下,企业如果没有一个现代的原生云策略,其数据安全将面临严峻的挑战。
cloud_hosting
评论
还没有评论,快来抢沙发吧!
weibo qrcode
关注微信号:
HostUCan云计算
作者介绍
Flora
访问量: 943368
文章: 2823
Flora,IDC点评网网站运营专员,主机行业资深编辑

作者热门文章

bluehost
ssl

热门文章

服务推荐

云服务器专题
云服务器即云主机,是近年特别热门的主机产品,最新排名请看»
云存储专题
云存储稳定性高,成本低,扩展性好等特点,查找云存储优惠请看»
SSL证书专题
SSL数字证书,可以提高网站安全性,DV,OV,EV等产品报价请看»
美国主机专题
热门美国主机eHost速度快,价格便宜,更多最新热门美国主机请看»
inmotionhosting
host1plus
在线咨询 广告合作 回到顶部