Defaults.Exposed › Korjaukset › CAA-tietueet

Kuinka korjata CAA-tietueet

CAA-tietue on lyhyt ohje verkkotunnuksesi asetuksissa, joka nimeää, mitkä varmenneyhtiöt saavat myöntää verkkosivustosi 'lukko'-turvasertifikaatin. Sen ollessa käytössä, mikään muu yhtiö ei pysty hiljaa luomaan sinun nimelläsi kelvollista sertifikaattia.

Lyhyesti liiketoiminnallesi: Ilman CAA-tietuetta lähes kuka tahansa satojen maailmanlaajuisten varmenneyhtiöiden joukosta voi myöntää aidon, täysin luotetun lukko-sertifikaatin verkkotunnuksellesi – antaen huijarin pystyttää virheettömän, täysin 'turvallisen' klooni sivustostasi keräämään asiakkaidesi kirjautumistiedot ja korttitiedot, ilman mitään näytöllä varoittamassa heitä.

Mitä tämä voi maksaa sinulle

• Huijari hankkii todellisen sertifikaatin kopiollesi sivustostasi, joten se näyttää vihreän lukon ja HTTPS:n – asiakkaasi eivät näe mitään vikaa, kirjoittavat salasanansa ja korttinumeronsa, ja saat tietää asiasta vasta veloitusperuutusten ja vihaisten puheluiden tulvasta.
• Asiakkaasi kalastetaan kirjautumissivusi pikselintarkaan kopion kautta; jälkiseuraukset – hyvitykset, tukityö, mainehaitta – kohdistuvat brändiisi, vaikka oikeisiin palvemiisi ei koskaan koskettaisi.
• Prospektin turvallisuus- tai hankintatiimi suorittaa nopean tarkistuksen verkkotunnuksestasi ennen allekirjoittamista. 'Ei CAA-suojausta' näkyy punaisena tai keltaisena kohteena vieressäsi. Se on pieni asia teknisesti, mutta luetaan 'ei kata perusasioita', ja se voi hidastaa tai tuhota sopimuksen, jonka olisit muuten voittanut.
• Varmenneyhtiö, jonka kanssa et ole koskaan asioinut, vaarantuu – tämä ei ole hypoteettista; DigiNotar, Comodo ja Symantec ovat kaikki kokeneet vakavia tapauksia. Koska et koskaan rajoittanut kuka saa toimia puolestasi, hyökkääjä voi hankkia kelvollisen sertifikaatin verkkotunnuksellesi tuon heikon CA:n kautta. CAA-tietue olisi kieltäytynyt heistä.

Miksi tällä on merkitystä. Tällä hetkellä ovi on täysin auki: mikä tahansa varmenneyhtiö maapallolla voi taata sinun nimelläsi esiintyvän sivuston, riippumatta siitä, oletko koskaan asioinut heidän kanssaan. CAA-tietue lukitsee tuon oven niin, että vain valitsemasi toimittaja voi myöntää sertifikaatit – se on yksinkertaisin, halvin puolustus yritystäsi tekeytymistä vastaan verkossa.

CAA-tietueet, selkokielellä

Jokaisella turvallisella verkkosivustolla on sertifikaatti – se, joka on selaimen lukon takana ja verkkoosoitteen “https”-alkuosassa. Nuo sertifikaatit jakavat erikoisyritykset nimeltä varmenneviranomaiset (CA): nimiä kuten Let’s Encrypt, DigiCert, Sectigo, Google Trust Services. Kun selaimesi näkee kelvollisen sertifikaatin, se näyttää lukon ja kertoo asiakkaallesi yhteyden olevan aito ja turvallinen.

Tässä on osa, josta useimmille yritysten omistajille ei koskaan kerrota: oletuksena sadat nämä varmenneviranomaiset ympäri maailmaa ovat kukin oikeutettuja myöntämään sertifikaatin sinun verkkotunnuksellesi – riippumatta siitä, oletko kuullut heistä tai et. CAA-tietue (Certification Authority Authorization) on yksirivinen muistiinpano, jonka lisäät verkkotunnuksesi DNS-asetuksiin, sanoen käytännössä: “vain nämä toimittajat saavat myöntää minulle sertifikaatteja.” Jokainen laillinen varmenneviranomainen on velvollinen alan sääntöjen mukaan tarkistamaan tuon muistiinpanon ennen myöntämistä – ja kieltäytymään, jos heitä ei ole listallasi.

Se on ero lukitsemattoman etuoven välillä, jonka läpi kuka tahansa voi kävellä, ja sellaisen, jossa vain valitsemiesi henkilöiden hallussaan on avain. Eikä se maksa mitään lisätä.

Mitä tämä voi maksaa yrityksellesi

Riski, jonka CAA-tietue sulkee, on vakuuttava tekeytymineen. Kun huijari voi saada todellisen sertifikaatin kopiolle sivustostasi, tavalliset varoitusmerkit katoavat – ei rikkinäistä lukkoa, ei “ei turvallinen” -banneria, ei sertifikaattivirhettä. Kaikki näyttää oikealta, mikä on täsmälleen se, mikä tekee siitä vaarallisen.

• Virheettömän väärennös. Huijari rekisteröi kopionäköisen osoitteen (tai vaarantaa reitin asiakkaisiisi), hankkii aidon sertifikaatin ja pystyttää täydellisen kloonin kirjautumis- tai kassasivustasi – lukko ja kaikki. Asiakkaat kirjoittavat salasanat ja korttinumerot normaalisti. Ensimmäisen kerran kuulet siitä, on veloitusperuutusten, petosraporttien ja vihaisten puheluiden aalto.
• Tietojenkalastelukampanja nimissäsi. Hyökkääjät lähettävät “vahvista tilisi” -sähköposteja, jotka linkittävät heidän sertifioituun klooniin sivustostasi. Koska sivu näyttää täysin turvalliselta, useammat lankeevat siihen. Siivous – asiakkaiden ilmoittaminen, hyvitykset, tukitunnit, hankala julkinen selitys – kohdistuu sinuun, vaikka palvelimia ei koskaan koskettaisi.
• Sopimus, joka pysähtyy tarkistuslistaan. Suuremman asiakkaan turvallisuus- tai hankintatiimi skannaa verkkotunnuksesi ennen allekirjoittamista. “Ei CAA-tietuetta” näkyy punaisena tai keltaisena kohteena. Se on pieni asia teknisesti, mutta luetaan “ei kata perusasioita”, ja se voi hidastaa tai tuhota sopimuksen.
• Jätetty kiinni jonkun muun murron takia. Varmenneviranomainen, jonka kanssa et ole koskaan asioinut, vaarantuu – tämä ei ole hypoteettista. CAA-tietue olisi kieltäytynyt heistä.
• Jokerimerkkien sokea piste. Jopa yritykset, jotka ovat huolellisia pääsivustostaan, unohtavat usein aliverkkotunnukset. Ilman issuewild-sääntöä, hyökkääjä, joka pystyy saamaan jokerimerkki-sertifikaatin, saa tehokkaasti avaimen jokaiseen aliverkkotunnukseen, joka sinulla koskaan on.

Mitä se oikeasti on, ja miltä “hyvä” näyttää

CAA-tietue elää verkkotunnuksesi DNS:ssä – samoissa asetuksissa, jotka osoittavat verkkotunnuksesi verkkosivustoosi ja sähköpostiin. Jokaisessa tietueessa on kolme osaa: lippu, tunniste ja arvo. Tärkeät tunnisteet ovat:

• issue — nimeää varmenneviranomaisen, joka saa myöntää normaaleja sertifikaatteja verkkotunnuksellesi. Voit olla useita, yksi per laillisesti käyttämäsi toimittaja.
• issuewild — hallitsee jokerimerkki-sertifikaatteja (yksi sertifikaatti, joka kattaa jokaisen aliverkkotunnuksen, esim. *.esimerkki.fi). Jos et käytä jokerimerkki-sertifikaatteja, suositeltu asetus estää ne kokonaan.
• iodef — valinnainen yhteystietoosoite, johon saat ilmoituksen, jos varmenneviranomainen hylkää pyynnön CAA-politiikkasi takia. Tämä on varhaisvaroituksesi siitä, että joku yritti.

Miltä “hyvä” näyttää: vähintään yksi issue (tai issuewild) -tietue on läsnä, nimettyinä toimittajilla, joita todella käytät, ja jokerimerkki-sertifikaatit joko rajoitettuna nimetylle toimittajalle tai estettyinä. Tämä on tarkistuksen mittaristo – se etsii CAA-tietueesi useilta riippumattomilta selvityspalvelimilta ja läpäisee, kun löytää todellisen issue- tai issuewild-politiikan paikallaan.

Vaikuttaako tämä arvosanaani? Kyllä. Puuttuva CAA-tietue on pisteytetty kohde ja merkitty keskitason vakavuudeksi – se on todellinen aukko, ei vain mukava lisä, koska se jättää todellisen tekeytymispolun auki. Tietueen lisääminen sulkee aukon ja poistaa löydöksen.

Korjausohje (ilmainen, n. 5 minuuttia)

Anna tämä osio sille, joka hallinnoi verkkotunnustasi tai verkkosivustoasi – korjaus on ilmainen. Se on pieni DNS-muutos, ei uudelleenrakennus. Veloitamme vain jos myöhemmin haluat meidän valvovan, että tietue pysyy paikoillaan; sen lisääminen ei maksa mitään.

Vaihe 1 – Selvitä, mitä varmenneviranomaista todella käytät. Tämä on se vaihe, jonka kannattaa tehdä oikein, koska väärän toimittajan listaaminen voi estää seuraavan uusinnan. Yleiset tapaukset:

• Let’s Encrypt – monet hostit ja hallintapaneelit käyttävät (cPanel, Plesk) → letsencrypt.org
• Cloudflare (jos se myöntää reunasertifikaattisi) → letsencrypt.org, digicert.com, comodoca.com, pki.goog ja ssl.com (Cloudflare käyttää useita taustajärjestelmän CA:ita; listaa ne, joita hallintapaneelisi näyttää, tai sen täysi joukko)
• Google Workspace / Google Trust Services → pki.goog
• DigiCert → digicert.com
• Sectigo / Comodo → sectigo.com (ja comodoca.com)
• Microsoft 365 / Azure – Microsoft käyttää tyypillisesti DigiCertiä hallinnoiduille sertifikaateille → digicert.com (vahvista portaalissasi)

Jos olet epävarma, katso nykyistä sertifikaattiasi selaimessa (klikkaa lukkoa → sertifikaatin tiedot → “Myöntänyt”) nähdäksesi kuka myönsi sen.

Vaihe 2 – Kirjaudu DNS-toimittajaasi. Tämä on missä tahansa verkkotunnuksesi tietueet asuvat – yleensä rekisteröijäsi, webhostisi tai Cloudflare. Etsi DNS-tietueet-osio ja valitse lisätä uusi tietue tyypiltään CAA (jotkut käyttöliittymät merkitsevät sen tyypiksi 257).

Vaihe 3 – Lisää issue-tietue kullekin käyttämällesi toimittajalle. Esimerkiksi Let’s Encryptille:

esimerkki.fi.   CAA   0 issue "letsencrypt.org"

Lisää yksi issue-rivi per laillinen toimittaja. Useimmat DNS-hallintapaneelit antavat erilliset kentät lipulle (0), tunnisteelle (issue) ja arvolle (CA:n verkkotunnus), joten et kirjoita koko riviä käsin.

Vaihe 4 – Hallinnoi jokerimerkki-sertifikaatteja. Jos et käytä jokerimerkki-sertifikaatteja, estä ne kokonaan, jottei kukaan pysty hiljaa hankkimaan sellaista:

esimerkki.fi.   CAA   0 issuewild ";"

Jos käytät jokerimerkki-sertifikaatteja, nimeä toimittaja sen sijaan: 0 issuewild "letsencrypt.org".

Vaihe 5 – (Suositeltu) Lisää ilmoitusosoite. Jotta saat tiedon aina kun CA hylkää yrityksen – varhainen varoituksesi siitä, että joku yritti:

esimerkki.fi.   CAA   0 iodef "mailto:[email protected]"

Vaihe 6 – Tallenna ja vahvista. Suorita dig CAA esimerkki.fi (tai käytä mitä tahansa online-DNS-hakutyökalua) ja vahvista, että tietueesi näkyvät. Muutokset voivat kestää muutamista minuuteista muutamaan tuntiin levitäkseen internetissä. Olemassa oleva sertifikaattisi ja kaikki uusinnat jatkavat toimimistaan koko ajan – CAA hallinnoi vain uutta myöntämistä.

Alustapikamuistiot: Cloudflare:ssa: DNS → Tietueet → Lisää tietue → tyyppi CAA. Google Workspace:ssa hallinnoidi DNS rekisteröijälläsi (tai Cloud DNS:ssä jos käytät sitä) – lisää CAA-tietueet sinne pki.goog:lla. Microsoft 365:ssä CAA:ta ei aseteta M365-hallintakeskuksessa; lisää se minne tahansa verkkotunnuksesi DNS:ää isännöidään, listaten hallinnoidun sertifikaatin CA (yleensä DigiCert). Yleisissä hosteissa (GoDaddy, Namecheap jne.), se on samassa DNS-paneelissa, jossa A- ja MX-tietueesi asuvat.

Yleisimmät virheet

• Väärän CA:n listaaminen – tai yhden unohtaminen. Suurin todellinen maailman riski ei ole tietoturva, se on omien uusintojen estäminen. Jos käytät enemmän kuin yhtä myöntäjää (esim. yksi pääsivustolle ja toinen Cloudflareen taakse), listaa ne kaikki.
• issue:n asettaminen mutta jokerimerkki-sertifikaattien sivuuttaminen. Verkkotunnus, joka rajoittaa normaaleja sertifikaatteja, mutta ei sano mitään jokerimerkki-sertifikaateista, jättää tehokkaamman jokerimerkkireitin edelleen auki. Aseta aina myös issuewild – joko toimittajaasi tai ";":een estääksesi sen.
• CAA:n asettaminen väärään nimeen. CAA luetaan varmenneviranomaiselta sertifioitavalle tarkkalle nimelle, kävellen puuta ylöspäin. Sen asettaminen verkkotunnuksesi huipulle (“apex”, esim. esimerkki.fi) on oikea siirto – se kattaa aliverkkotunnukset oletuksena ellei aliverkkotunnus aseta omaa.
• Olettaminen, että alustasi teki sen jo. Cloudflare, Google ja Microsoft hallinnoivat sertifikaatteja, mutta eivät lisää CAA-tietueita puolestasi. Ellet lisänyt niitä, verkkotunnuksesi on edelleen avoin.
• Sen kohteleminen kerran tehty, ei seurantaa. Myöhempi DNS-siirto, rekisteröijänmuutos tai tietueiden “siivous” voi hiljaa pudottaa CAA-suojasi. Kannattaa tarkistaa, että se on edelleen siellä minkä tahansa DNS-muutoksen jälkeen.

Asenna palveluntarjoajallasi

Vaiheittainen ohje suosituille palveluntarjoajille:

• Asenna CAA palvelussa GoDaddy
• Asenna CAA palvelussa Namecheap
• Asenna CAA palvelussa Cloudflare
• Asenna CAA palvelussa AWS Route 53

UKK