bisend

DNS记录可防止 未经授权的SSL证书

2017-04-13 14:27 来源: 编辑: Flora 发表在 SSL, 新闻, 网络安全 我要评论

证书颁发机构授权(CAA)DNS记录在2013年成为标准,但是在世界上没有太多的影响力,因为证书颁发机构(CA)没有义务遵守这些规则。

该记录允许域所有者,允许为该域发布SSL/TLS证书的CA。这样做的原因是为了限制未经授权的证书颁发,如果CA被泄密或有破坏者,这可能是意外的或故意的。

根据由CA/浏览器论坛创建的现有行业规则,一个组合主要是浏览器供应商和CA的组织,证书颁发机构必须验证SSL证书请求源自域所有者本身或控制这些域的人员。

此所有权验证通常是自动的,并且涉及要求域所有者创建具有特定值的DNSTXT记录,或者在其站点结构中的特定位置上传授权码,从而证明其对域的控制。

然而,黑客进入网站也可能使攻击者有能力通过此类验证,并从任何证书颁发机构请求受侵害域的有效证书。这样的证书可以稍后被用于对用户发起中间人攻击或将其引导到网络钓鱼页面。

CAA记录背后的目标是限制谁可以为域颁发证书。例如,Google的CAA记录是:google.com 86400 IN CAA 0 "symantec.com."。这意味着Google专门授权Symantec颁发其主域名证书。

CAA记录还支持一个名为“iodef”的标签,CA也符合要求。此标记允许域所有者指定电子邮件地址或URL,CA可以报告与域的CAA策略冲突的证书颁发请求。

例如,如果一个CA收到对域X的证书的请求,但域X具有授权不同的CA颁发证书的CAA记录,则第一个CA将可疑请求报告发送给电子邮件地址或CAA中指定的URLiodef属性。这将提醒域名所有者,其他人可能尝试未经授权获得证书。

安全研究员和HTTPS部署专家ScottHelme在一篇博文中说:“CAA是我们防御的另一个层面。“我们不用担心供应商锁定,因为记录只能在发行时进行检查,设置起来不太简单,没有什么可失去的。”

聚焦云计算,扫描二维码,关注HostUCan云计算

相关文章

Zayo收购加州圣地亚哥两个数据中心
05/09
日前,美国基础设施和网络厂商Zayo完成了在加州圣地亚哥的两个数据中心的收购。这两个数据中心设施原来归其竞争对手墨西哥KIO网络公司所有。
2017年世界云计算日•中国站 参会门票限时免费啦!
05/02
5月23日,WHD.china2017世界云计算日•中国站将在北京新世纪日航酒店盛大召开。为推动中国云计算及互联网产业发展,主办方欢迎各方人士前来参会。最新消息,大会组委会将在5月2日-5月5日开启限时免费通道,大家可凭借邀请码免费注册参会。
HPE关闭整条OpenSDN产品线:完全退出了电信级SDN市场
04/28
互联网服务提供商(ISP)们被告知,它们得另找一家供应商。因为惠普(HPE)已悄然关闭了其OpenSDN套件,即日起生效。目前销售人员已接到关闭客户演示和概念证明安装的命令。IT买家将被告知:如果他们想要评估和部署软件定义网络(SDN)产品,必须考虑其他厂商的产品。
微软第三财季营收221亿美元 净利同比增28%
04/28
微软今天发布了2017财年第三财季财报。报告显示,微软第三财季营收为220.90亿美元,与去年同期的205.31亿美元相比增长8%;净利润为48.01亿美元,与去年同期的37.56亿美元相比增长28%。
网宿科技2017年Q1净利润1.96亿元 同比下降19%
04/27
网宿科技26日晚间公布了2017年第一季度财报。报告显示,本季度网宿科技实现营收11.75亿元,同比增长20.60%,增长出现大幅放缓;净利润1.96亿元,同比下降18.73%。
cloud_hosting
评论
还没有评论,快来抢沙发吧!
weibo qrcode
IDC点评网官网微信号
weibo qrcode
HostUCan云计算微信号
作者介绍
Flora
访问量: 888870
文章: 2793
Flora,IDC点评网网站运营专员,主机行业资深编辑

作者热门文章

bluehost
ssl

热门文章

服务推荐

云服务器专题
云服务器即云主机,是近年特别热门的主机产品,最新排名请看»
云存储专题
云存储稳定性高,成本低,扩展性好等特点,查找云存储优惠请看»
SSL证书专题
SSL数字证书,可以提高网站安全性,DV,OV,EV等产品报价请看»
美国主机专题
热门美国主机eHost速度快,价格便宜,更多最新热门美国主机请看»
inmotionhosting
host1plus
在线咨询 广告合作 回到顶部