证书颁发机构授权(CAA)DNS记录在2013年成为标准,但是在世界上没有太多的影响力,因为证书颁发机构(CA)没有义务遵守这些规则。
该记录允许域所有者,允许为该域发布SSL/TLS证书的CA。这样做的原因是为了限制未经授权的证书颁发,如果CA被泄密或有破坏者,这可能是意外的或故意的。
根据由CA/浏览器论坛创建的现有行业规则,一个组合主要是浏览器供应商和CA的组织,证书颁发机构必须验证SSL证书请求源自域所有者本身或控制这些域的人员。
此所有权验证通常是自动的,并且涉及要求域所有者创建具有特定值的DNSTXT记录,或者在其站点结构中的特定位置上传授权码,从而证明其对域的控制。
然而,黑客进入网站也可能使攻击者有能力通过此类验证,并从任何证书颁发机构请求受侵害域的有效证书。这样的证书可以稍后被用于对用户发起中间人攻击或将其引导到网络钓鱼页面。
CAA记录背后的目标是限制谁可以为域颁发证书。例如,Google的CAA记录是:google.com 86400 IN CAA 0 "symantec.com."。这意味着Google专门授权Symantec颁发其主域名证书。
CAA记录还支持一个名为“iodef”的标签,CA也符合要求。此标记允许域所有者指定电子邮件地址或URL,CA可以报告与域的CAA策略冲突的证书颁发请求。
例如,如果一个CA收到对域X的证书的请求,但域X具有授权不同的CA颁发证书的CAA记录,则第一个CA将可疑请求报告发送给电子邮件地址或CAA中指定的URLiodef属性。这将提醒域名所有者,其他人可能尝试未经授权获得证书。
安全研究员和HTTPS部署专家ScottHelme在一篇博文中说:“CAA是我们防御的另一个层面。“我们不用担心供应商锁定,因为记录只能在发行时进行检查,设置起来不太简单,没有什么可失去的。”