È più sicuro impostare un record CAA DNS su una CA non esistente?

0

Un CAA consente di specificare quali autorità di certificazione sono autorizzate a emettere un certificato per il mio dominio. Ad esempio

example.com. CAA 0 issue "symantec.com"

consentirà a Symantec di emettere certificati solo per example.com. Tuttavia, come spiegato in Perché i browser non controllano i registri CAA per garantire che un certificato sia valido? questo non è verificato né applicato dai browser. Non c'è motivo di impostarlo sulla CA che ha emesso il certificato corrente .

Con questo in mente: non sarebbe più sicuro impostare il CAA-record su una CA non valida come questa:

example.com. CAA 0 issue "doesnotexist.com"

In questo modo nessuno può emettere un certificato.

Il mio certificato è ancora valido per diversi anni da adesso e non avrò bisogno di alcuna CA per rilasciare un certificato al momento. Quando arriverà il momento, cambierò temporaneamente il record CAA nella CA specifica per consentirlo.

    
posta Jeff 05.12.2018 - 20:41
fonte

1 risposta

0

In breve, no.

Ed ecco perché.

1. Non usare nomi inventati

Qualunque cosa tu faccia su Internet, quando hai davvero bisogno di un nome falso / offuscato, non invitalo e spera che in futuro possa andare bene per tutti. Con questo ragionamento, .MAIL è diventato un TLD che non esisterà mai perché è stato abusato da così tante documentazioni.

L'RFC 2606 fornisce un insieme di valori corretti per un caso del genere, in pratica, example.com , example.net e .example TLD.

2. Record CAA vuoti

Ma l'uso di nomi "falsi" non è nemmeno necessario per CAA record. La RFC 6844 fornisce questo esempio:

For example, the following CAA record set requests that no
certificates be issued for the domain 'nocerts.example.com' by any
certificate issuer.

nocerts.example.com       CAA 0 issue ";"

Quindi fallo, non inventare un nome falso.

3. DNSSEC?

Il tuo dominio è abilitato DNSSEC?

In caso contrario, i record CAA possono essere falsificati o eliminati

4. Uso di CAA record: tempo di emissione vs tempo di utilizzo

"this is not verified or enforced by browsers."

Non ne hanno bisogno. Requisiti del forum CAB (sezione 3.2.2.8 del link ) , al giorno d'oggi tutte le CA sono tenute a verificare i record CAA al momento dell'emissione del certificato.

Questo è quando è importante perché il certificato sarà valido per diciamo 1 anno; e durante questo periodo di tempo il record CAA del DNS può essere cambiato in molte cose, quindi al momento dell'uso (connessione) il browser può ottenere una risposta completamente diversa da quella al momento dell'emissione del certificato.

E Crypt32 lo ha detto nel commento, come scritto nei requisiti: "Questa clausola non impedisce alla CA di controllare i record CAA in qualsiasi altro momento."

Ma in termini di funzionalità, probabilmente stai pensando più a DANE e ai suoi TLSA record, vedi RFC 6698 e 7671.

Fornirebbero ai clienti l'assicurazione, al momento della connessione, per ogni dato servizio, che il server dovrebbe effettivamente utilizzare il certificato o la chiave pubblica esposta nei record TLSA o un certificato firmato da un'autorità specifica il cui certificato è in un record TLSA .

Ovviamente:

  1. hai bisogno di una zona abilitata DNSSEC per essere utili, altrimenti sono possibili attacchi di downgrade banali, e
  2. I clienti
  3. devono usare questi record, altrimenti non possono applicare le regole che hai messo in atto; sfortunatamente per ora per i browser è al massimo un componente aggiuntivo e certamente non una funzione di base.
risposta data 03.01.2019 - 03:17
fonte

Leggi altre domande sui tag