Defaults.Exposed › Parandused › CAA kirjed

Kuidas parandada CAA kirjed

CAA kirje on lühike juhis teie domeeni seadetes, mis nimetab, millised sertifikaadiettevõtted saavad väljastada 'tabaluku' turvasertifikaati teie veebisaidile. Sisselülitatuna ei saa ükski teine ettevõte vaikselt teie nimel kehtivat sertifikaati luua.

Põhijareldus sinu ettevõttele: Ilma CAA kirjeta võib peaaegu ükski sajanditest sertifikaadiettevõtetest maailmas väljastada tõelise, täielikult usaldusväärse tabaluku sertifikaadi teie domeeni jaoks — lastes petturil luua teie saidi laitmatu, täielikult 'turvalise' väljanägemisega klooni teie klientide sisselogimiste ja kaardisummade kogumiseks, ilma et ekraanil oleks mingit hoiatust.

Mida see sulle maksab

Pettur saab tõelise sertifikaadi teie saidi koopia jaoks, nii et see näitab rohelist tabalukku ja HTTPS-i — teie kliendid ei näe midagi valesti, kirjutavad oma paroolid ja kaardisummad, ning saate sellest teada alles siis, kui tagasimaksed ja vihased kõned algavad.
Teie kliendid saavad andmepüüki läbi teie sisselogimislehe pikslitäpselt klooni; järkuhind — hüvitised, tugikoormus, maineskahjustus — langeb teie kaubamärgile, kuigi teie päris saiti ei puututa.
Potentsiaalse kliendi turva- või hanketiim teeb enne allkirjastamist kiire kontrokkli teie domeeni, näeb CAA kaitset puuduvat, ja märgib teid vaikselt maha 'nõrk põhitõdedes' — pannes tehingu ohtu seadistuse pärast, mida lisamine võtab viis minutit.
Üks maailma sertifikaadiettevõtetest on ohustatud (see on juhtunud korduvalt — DigiNotar, Comodo, Symantec), ning kuna te pole kunagi öelnud, kes teie nimel tegutseda tohib, on teie domeen avatud sellele, milline osutub nõrgeimaks lüliks.

Miks see on oluline. Praegu on uks pärani lahti: ükski Maa sertifikaadiettevõte saab käendada saiti, mis väidab olevat teie oma, kas olete nendega kunagi tegelnud või mitte. CAA kirje lukustab selle ukse, et ainult teie valitud pakkuja saab sertifikaate väljastada — see on kõige lihtsam, odavaim kaitse, mis on olemas kellegi vastu, kes impersoneerib teie ettevõtet internetis.

CAA kirjed lihtsas keeles

Igal turvalise veebisaidil on sertifikaat — asi tabaluku taga brauseris ja “https” teie aadressi ees. Need sertifikaadid annavad välja spetsialistfirmad, mida nimetatakse sertifikaadiasutusteks (CA-deks): nimed nagu Let’s Encrypt, DigiCert, Sectigo, Google Trust Services. Kui brauser näeb kehtivat sertifikaati, näitab see tabalukku ja ütleb teie kliendile, et ühendus on ehtne ja turvaline.

Siin on osa, mida enamik ettevõtjaid on kunagi kuulnud: vaikimisi on sadat neid sertifikaadiasutusi üle maailma igaühel lubatud väljastada sertifikaat teie domeeni jaoks — olgu te nendest kunagi kuulnud või mitte. CAA kirje (Certification Authority Authorization) on üherealine märkus, mille lisate oma domeeni DNS-seadetele, öeldes sisuliselt: “ainult need pakkujad saavad minu jaoks sertifikaate väljastada.” Iga legitiimne sertifikaadiasutus on kohustatud tööstuse reeglite järgi seda märkust enne väljastamist kontrollima — ning keelduma, kui nad pole teie nimekirjas.

See on vahe lukustamata eesukse vahel, mille läbi kõik saavad läbi kõndida, ja ühe vahel, kus ainult teie valitud inimestel on võti. Ja see ei maksa lisamiseks midagi.

Mida see võib teile maksma minna

Risk, mille CAA kirje sulgeb, on veenev isikustamine. Kui pettur saab tõelise sertifikaadi teie saidi koopia jaoks, tavalisised hoiatusmärgid kaovad — pole katki tabalukku, pole “mitte turvaline” riba, pole sertifikaadi viga. Kõik näib õige, mis on täpselt see, mis teeb selle ohtlikuks.

Laitmatu võltssait. Pettur registreerib sarnaselt näiva aadressi (või kompromiteerib marsruudi teie klientideni), saab tõelise sertifikaadi ja püstitab teie sisselogimise või kassalehe täiusliku klooni — tabaluku ja kõigega. Kliendid sisestavad paroole ja kaardisummasid nagu tavaliselt. Esimest korda kuulete sellest tagasimaksete, pettusaruannete ja vihaste telefonikõnede vooguna.
Teie nimel toimuv andmepüügikampaania. Ründajad saadavad “palun kinnitage oma konto” meile, mis viivad nende sertifitseeritud kloonile teie saidist. Kuna leht näib täielikult turvalisena, langevad rohkem inimesed lõksu. Puhastamine — klientide teavitamine, hüvitised, tugitunnid, ebamugav avalik selgitus — kõik langeb teile, kuigi teie päris servereid ei puututa.
Tehing, mis peatub kontrollnimekirjal. Suurema kliendi turva- või hanketiim skannib teie domeeni enne allkirjastamist. “CAA kirje puudub” ilmub punase või merevaiguvärvi üksusena teie nime kõrval. See on väike asi tehniliselt, kuid loetakse “ei kata põhitõdesid”, ning see võib aeglustada või hävitada lepingu, mille muidu oleksite võitnud.
Tabamine kellegi teise rikkumises. Sertifikaadiasutus, kellega te pole kunagi tegelnud, saab ohustatud — see pole hüpoteetiline; DigiNotar, Comodo ja Symantec on kõik olnud tõsiste juhtumitega. Kuna te pole kunagi piiranud, kes teie nimel tegutseda saab, saab ründaja läbi selle nõrga CA kehtiva sertifikaadi teie domeeni jaoks. CAA kirje oleks neile keeldunud.
Metamärgi pimekoht. Isegi ettevõtted, kes on oma peamise saidi osas hoolikad, unustavad sageli alamdomeenid. Ilma issuewild reeglita saab ründaja, kes saab metamärgi sertifikaadi, sisuliselt kõikide alamdomeenide võtme korraga.

Ükski neist ei nõua keerukat rünnakut teie serverite vastu. Need kasutavad ära asjaolu, et CAA kirjeta on laiem sertifikaadisüsteem lihtsalt liiga usaldav teie nimel.

Mis see tegelikult on ja mis näeb välja “hea”

CAA kirje asub teie domeeni DNS-is — samad seadistused, mis osutavad teie domeeni teie veebisaidile ja meilile. Igal kirjel on kolm osa: lipp, silt ja väärtus. Olulised sildid on:

issue — nimetab sertifikaadiasutuse, kellel on lubatud väljastada normaalseid sertifikaate teie domeeni jaoks. Teil võib olla mitu, üks pakkuja kohta, mida legitiimselt kasutate.
issuewild — kontrollib metamärgi sertifikaate (üks sertifikaat, mis katab iga alamdomeeni, nt *.näide.com). Kui metamärke ei kasuta, blokeerib soovitatav seadistus need täielikult.
iodef — valikuline kontaktaadress, kuhu teid teavitatakse, kui sertifikaadiasutus lükkab päringut tagasi teie CAA poliitika tõttu. See on teie varajane hoiatus, et keegi üritas.

Mis näeb välja “hea”: vähemalt üks issue (või issuewild) kirje on olemas, nimetades pakkuja(id), mida tegelikult kasutate, kusjuures metamärgid on kas piiratud nimekohase pakkujaga või blokeeritud. See on ribast, mida see kontroll mõõdab — see otsib teie domeeni CAA kirjeid mitme sõltumatu läbiviija kaudu ja läbib, kui leiab reaalse issue või issuewild poliitika. Domeen ilma ühtki CAA kirjeta käsitletakse avatud uksena, mis ta on.

Kas see mõjutab minu hinnet? Jah. Puuduv CAA kirje on hinnatud üksus ja märgitud keskmise raskusega — see on tegelik lünk, mitte ainult hea oleks, sest see jätab tegeliku isikustavamise tee avamaks. Kirje lisamine sulgeb lünga ja lahendab leiu.

Kuidas seda parandada (tasuta, ~5 minutit)

Andke see jaotis oma domeeni või veebisaiti haldavale isikule — parandus on tasuta. See on väike DNS-muudatus, mitte ümberehitamine. Me küsime tasu ainult siis, kui soovite hiljem, et me jälgiksime kirje paiknemist; selle lisamine ei maksa midagi.

Samm 1 — Leidke, millist sertifikaadiasutust tegelikult kasutate. See on üks samm, mille saamine õigeks tasub end ära, sest vale pakkuja loetlemine võib blokeerida teie järgmise uuendamise. Levinud juhtumid:

Let’s Encrypt — kasutavad paljud hostid ja juhtpaneelid (cPanel, Plesk) → letsencrypt.org
Cloudflare (kui see väljastab teie serva sertifikaadi) → letsencrypt.org, digicert.com, comodoca.com, pki.goog ja ssl.com (Cloudflare kasutab mitut taustapoole CA-d; loetlege need, mida selle armatuurlaud näitab, või selle täielik komplekt, et uuendamised ei katkeks kunagi)
Google Workspace / Google Trust Services → pki.goog
DigiCert → digicert.com
Sectigo / Comodo → sectigo.com (ja comodoca.com)
Microsoft 365 / Azure — Microsoft kasutab tavaliselt DigiCert’i hallatud sertifikaatide jaoks → digicert.com (kinnitage oma portaalis)

Kui pole kindel, vaadake oma praegust sertifikaati brauseris (klõpsake tabalukule → sertifikaadi üksikasjad → “Väljastanud”), et näha, kes selle väljastas.

Samm 2 — Logige sisse oma DNS-pakkujasse. See on kus iganes teie domeeni kirjed elavad — tavaliselt teie registraator, teie veebihost või Cloudflare. Leidke DNS-kirjete jaotis ja valige tüüpi CAA uue kirje lisamine (mõned liidesed märgistavad seda tüübina 257).

Samm 3 — Lisage issue kirje iga pakkuja jaoks, mida kasutate. Nt Let’s Encrypt jaoks:

näide.com.   CAA   0 issue "letsencrypt.org"

Lisage üks issue rida iga legitiimse pakkuja kohta. Enamik DNS-armatuurlaudu annab teile eraldi lahtreid lipu (0), sildi (issue) ja väärtuse (CA domeeni) jaoks, nii et te ei kirjuta kogu rida käsitsi.

Samm 4 — Kontrollige metamärgi sertifikaate. Kui ei kasuta metamärke, blokeerige need täielikult, nii et keegi ei saa neile vaikselt üht saada:

näide.com.   CAA   0 issuewild ";"

Kui kasutate metamärke, nimetage selle asemel pakkuja: 0 issuewild "letsencrypt.org".

Samm 5 — (Soovitatav) Lisage teavitusaadress. Et teid teavitataks, kui CA lükkab katse tagasi — teie varajane hoiatus, et keegi üritas:

näide.com.   CAA   0 iodef "mailto:turvalisus@näide.com"

Samm 6 — Salvestage ja kontrollige. Käivitage dig CAA näide.com (või kasutage mis tahes veebipõhist DNS-otsingu tööriista) ja kinnitage, et teie kirjed ilmuvad. Muudatused võivad interneti ulatuses levida mõnest minutist mõne tunnini. Teie olemasolev sertifikaat ja kõik uuendamised töötavad kogu sellel ajal — CAA reguleerib ainult uut väljastamist.

Platvormi kiirhoiatused: Cloudflare’il — DNS → Kirjed → Lisa kirje → tüüp CAA. Google Workspace’il haldate DNS-i oma registraatoris (või Cloud DNS-is, kui seda kasutate) — lisage seal CAA kirjed koos pki.goog-iga. Microsoft 365-il pole CAA seadistatav M365 adminikeskuses; lisage see kus iganes teie domeeni DNS on hostitud, loetledes oma hallatud sertifikaadi CA (tavaliselt DigiCert). Levinud hostidel (GoDaddy, Namecheap jne) on see samas DNS-paneelil, kus teie A ja MX kirjed elavad.

Levinud vead

Vale CA loetlemine — või ühe unustamine. Suurim reaalse maailma risk pole turvalisus, see on oma uuendamiste blokeerimine. Kui kasutate rohkem kui ühte väljastajat (nt üks põhisaidi jaoks ja teine Cloudflare’i taga), loetlege kõik. Kahtluse korral loetlege mitu usaldusväärset, mitte liiga vähe.
issue seadistamine, kuid metamärkide eiramine. Domeen, mis piirab normaalseid sertifikaate, kuid ei ütle midagi metamärkide kohta, jätab võimsamaks metamärgi tee ikka lahti. Seadistage alati ka issuewild — kas oma pakkujale või ";" blokeerimiseks.
CAA vale nimele paigutamine. CA loeb CAA sertifitseeritava täpse nime jaoks, liikudes puust üles. Selle seadistamine teie domeeni tippu (nn “apex”, nt näide.com) on õige samm — see katab vaikimisi alamdomeenid, välja arvatud juhul, kui alamdomeen seab oma.
Eeldamine, et teie platvorm on seda juba teinud. Cloudflare, Google ja Microsoft haldavad sertifikaate, kuid ei lisa CAA kirjeid teie eest. Kui te neid pole lisanud, on teie domeen ikka avatud.
Käsitlemine ühekordse tegevusena ilma jälgimiseta. Hilisem DNS-migratsioon, registraatori vahetus või kirjete “korrashoid” võivad teie CAA kaitse vaikselt maha jätta. Tasub kontrollida, et see on ikka seal pärast mis tahes DNS-muudatust.

Tehniline kiht (andke see oma IT-inimesele)

CAA on määratletud RFC 8659-s ja jõustatud CA/Browser Forum põhinõuete all — iga avalikult usaldatav CA on kohustatud kontrollima CAA väljastamisel. Kirjed võtavad kuju <lipud> <silt> <väärtus>, siltidega issue, issuewild ja iodef. Mitte-tühi issue või issuewild poliitika on see, mis rahuldab seda kontrolli; ainult iodef olemasolu seda ei tee (see on aruandlus, mitte autoriseerimine).

Kindel lähtepunkt apexi juures:

näide.com.   CAA   0 issue "letsencrypt.org"
näide.com.   CAA   0 issuewild ";"
näide.com.   CAA   0 iodef "mailto:turvalisus@näide.com"

Märkused rakendajale:

CAA puude ronimise: CA hindab CAA taotletud FQDN-ist üles apexi suunas, peatudes esimese nimega, mille juures on CAA kirjekomplekt. Apexi juures olev kirje kaitseb seetõttu kõiki alamdomeenid, kui alamdomeen ei avalda oma, mida see võib — kasulik, kui konkreetne alamdomeen kasutab erinevat väljastajat.
";" väärtus issuewild-is tähendab “ükski CA ei tohi metamärke väljastada” — selgesõnaline keeldumine. Kasutage seda, kui metamärgid pole teie seadistuses.
0 lipp on väljastajale kriitiline lipp; 0 (mitte-kriitiline) on normaalse kasutuse jaoks õige. Vältige kriitilise biti seadistamist, välja arvatud juhul, kui mõistate seda täielikult, kuna valesti mõistetud kriitiline silt võib panna nõuetele vastavad CA-d väljastamisest keelduma.
Mitu väljastajat: mitu issue kirjet on lubatud ja aditiivsed — loetlege kõik CA-d, mis legitiimselt on teie virnas (sealhulgas taustapoole CA-d, mida teie CDN/serva pakkuja kasutab), et vältida uuendamise ebaõnnestumisi.
Kontrollimine: dig CAA näide.com +short, või kontrollige CA/Browser Forum CAA testiriistade kaudu.
DNSSEC-iga sidumine: CAA ütleb CA-dele, kes võib väljastada; DNSSEC peatab CAA vastuse enda transiidis võltsimise. Need on komplementaarsed — kõrge väärtusega domeenide jaoks käivitage mõlemat.

Seadista oma majutuses

Samm-sammult populaarsete teenusepakkujate jaoks:

KKK

Ma pole tehniline — kas saan ise sellega tegeleda?

Te ei pea üksikasju mõistma, kuid parandus on väike muudatus teie domeeni DNS-seadetes, nii et see on kõige parem anda teie veebisaiti või domeeni haldavale isikule. Saatke neile allolev 'Kuidas seda parandada' jaotis — see on viie minuti, tasuta muudatus. Me küsime tasu ainult siis, kui soovite hiljem, et me jälgiksime kirje paiknemist; parandus ise on alati tasuta.

Kas selle lisamine lõhub minu veebisaiti või sertifikaati?

Ei — kuni loetlete sertifikaadiväljastaja, mida tegelikult kasutate, töötab kõik täpselt nagu enne. CAA kirje ei puutu ega asenda teie olemasolevat sertifikaati; see reguleerib ainult seda, kelle on lubatud uusi luua. Ainus viis probleemide tekitamiseks on jätta oma päris pakkuja nimekirjast välja, mis võib blokeerida teie järgmise automaatse uuendamise — allolevad sammud on kirjutatud selle vältimiseks.

Kui sertifikaadid väljastatakse tänapäeval automaatselt, miks vajame ikka seda?

Automaatsed sertifikaadid on head ja mugavad — probleem on selles, et süsteem on vaikimisi kõigile avatud, sealhulgas kellegi jaoks, kes teeskleb olemast teie. CAA kirje lihtsalt nimetab, kelle on lubatud, muutes avatud ukse selleks, millel on teie oma lukk. See töötab koos automaatse väljastamisega, mitte vastu.

Kas see mõjutab minu Google järjestust või minu hinnet sellel aruandel?

See mõjutab teie turvalisuse hinnet siin — puuduv CAA kirje on hinnatud üksus, märgitud keskmise raskusastme lünkana, sest see jätab tegeliku isikustavamise tee avamaks. See pole otsene Google järjestuse tegur, kuid isikustamine ja andmepüük, mida see ennetab, on täpselt sellised juhtumid, mis kahjustavad usaldust ja liiklust. Mõlemal juhul on see kiire, tasuta võit.

Mis vahe on 'issue' ja 'issuewild' vahel?

'issue' kirje kontrollib normaalseid sertifikaate teie domeeni ja selle alamdomeenide jaoks. 'issuewild' kirje kontrollib metamärgi sertifikaate — ühe sertifikaadi, mis katab iga võimaliku alamdomeeni korraga (nagu *.näide.com). Metamärgid on võimsamad ja seetõttu ohtlikumad valede kätes, nii et on hea tava neid eraldi kontrollida: kui te metamärke ei kasuta, blokeerige need täielikult.

Kasutame Cloudflare'i / Google Workspace'i / Microsoft 365-i — kas see katab juba selle?

Mitte automaatselt. Need platvormid haldavad teie sertifikaate teie eest, kuid kui pole selgesõnaliselt lisanud CAA kirjeid, ütleb teie domeen ikka maailmale 'ükski asutus võib väljastada.' Hea uudis on, et parandus on sama lihtne DNS-muudatus neil kõigil, ning kus Cloudflare või teie host teie sertifikaadi väljastab, loetlete lihtsalt selle pakkuja. Alloleva parandusjaotise platvormihoiatused katavad levinud juhtumid.