Проверка CAA на наличие SSL-сертификатов
24 февр. 2025 г.
Проверка CAA на наличие SSL-сертификатов
Введение
В соответствии с предложением Форума CA/B Ballot 187 - сделать проверку CAA обязательной, GlobalSign внедряет проверку CAA для SSL-сертификатов. CAA проверяется перед выпуском всех публично доверенных SSL-сертификатов, а именно: AlphaSSL, DomainSSL, OrganizationSSL, ExtendedSSL, CloudSSL и CloudSSL SAN, а также при выпуске доменов MSSL. Для SSL-продуктов с проверкой домена, если CAA настроен неправильно, вы получите ошибку на этапе проверки домена, если вы приобрели продукт с более высокой степенью проверки, с вами свяжется агент по проверке, если ваша запись DNS CAA не совместима с GlobalSign.
Проверка CAA проводится для повышения прочности экосистемы PKI с целью ограничения того, какие центры сертификации могут выдавать сертификаты для определенного доменного имени. Центры сертификации будут обязаны проверять наличие записей DNS CAA и соблюдать эти предпочтения. Если запись DNS CAA отсутствует, то любой ЦС может выпустить сертификат для данного домена. Если запись DNS CAA присутствует, только УЦ, перечисленные в этой записи, могут выпускать сертификаты для этого имени хоста. Кроме того, при обработке записей DNS CAA GlobalSign будет обрабатывать теги свойств
issue, issuewild и iodef, как указано в RFC 6844.
Распространенные ошибки
| Сообщение об ошибке | Причина | Решение |
|---|---|---|
| эмитент = другой ЦС | Наша система обнаружила, что ваши записи DNS CAA содержат, записи, и "globalsign.com" не является одной из них. | Добавьте "globalsign.com" в записи CAA и повторите попытку. Обратите внимание, что на распространение может уйти до часа, чтобы убедиться, что кэш записей DNS CAA очищен. |
|
servfail |
Ответ SERVFAIL будет возвращен в одном из двух случаев:
|
SERVFAIL непосредственно от своего сервера при выполнении поиска на нем, и/или использовать инструмент распространения, например DNS Checker - DNS Check Propagation Tool, чтобы проверить, доступен ли сервер в целом по миру. Ошибки SERVFAIL могут быть временными (например, из-за временной проблемы с маршрутизацией между GlobalSign и DNS-сервером клиента, перезапуска службы или чего-то подобного). Если проблем не обнаружено, стоит попробовать еще раз. |
| Таймаут ввода/вывода (не реагирует) | Ошибка тайм-аута означает, что ваши серверы имен не работают. Эта ошибка может возникнуть только для доменов с поддержкой DNSSEC и не реагирующими на запросы серверами имен. |
Если вы получили это сообщение об ошибке, убедитесь, что ваши серверы имен работают и доступны извне. Обратитесь к своему DNS-провайдеру, чтобы выяснить причину неудачного ответа от DNS-сервера, и вместе с ним решите эту проблему. В случае наличия брандмауэра убедитесь, что этому IP-адресу разрешен доступ к вашим DNS-записям: 133.88.7.1 и/или 133.88.7.2. Когда ваш DNS-сервер будет правильно настроен, вы сможете повторить попытку проверки заказа. Обратите внимание, что ответы на проверку CAA кэшируются в течение максимум одного (1) часа. |
Обзор проверки CAA для SSL
Что такое CAA Checking?
Проверка CAA (Certificate Authority Authorization) - это контроль для ограничения того, какие центры сертификации могут выпускать сертификаты для определенного доменного имени. Настроив запись DNS CAA, владельцы доменов могут указать, какие центры сертификации имеют право выдавать сертификаты для данного доменного имени. Существует 2 способа изменения записей DNS CAA. Пожалуйста, ознакомьтесь со следующими рекомендациями:
Примечание: Если у вас возникли проблемы или вопросы о том, поддерживается ли CAA в вашей системе, свяжитесь с менеджером DNS для получения более подробной информации.
Как это работает?
Владельцы доменов создают записи DNS CAA, в которых перечисляются центры сертификации, которым они разрешают выдавать сертификаты для домена. Если в домене есть запись DNS CAA, то выпускать сертификаты для этого домена могут только центры сертификации, перечисленные в этой записи (записях). Если запись DNS CAA отсутствует, любому УЦ разрешено выдавать сертификаты для этого доменного имени.
Зачем он нужен?
Ранее любой ЦС мог выпустить сертификат для любого доменного имени, что делало экосистему PKI уязвимой. Поэтому Форум CA/Browser Forum путем голосования 187 сделал проверку CAA обязательной, чтобы повысить прочность системы PKI.
Что произойдет с уже имеющимися у меня сертификатами SSL?
Это изменение не затрагивает существующие SSL-сертификаты. Однако для новых, перевыпущенных и продленных сертификатов, если домен имеет запись(и) DNS CAA и ни одна из этих записей не содержит globalsign.com в качестве разрешенного эмитента, то GlobalSign будет запрещено повторно выпускать сертификат для этого домена (или субдомена).
Ваша запись DNS CAA должна содержать "globalsign.com", как показано ниже.
Ссылки
1. Бюллетень 187 - сделать проверку CAA обязательной
2. Базовые требования
3. Ресурсная запись DNS Certification Authority Authorization (CAA)
4. Что такое Форум CA/Browser и какова его роль в безопасности Интернета
Related Articles
Инструмент инвентаризации сертификатов (CIT)
Сканируйте конечные точки, чтобы найти все ваши сертификаты.
Войти / ЗарегистрироватьсяТест конфигурации SSL
Проверьте установку сертификата на наличие проблем и уязвимостей SSL.