Defaults.Exposed › Taisymai › CAA įrašai

Kaip ištaisyti CAA įrašai

CAA įrašas yra trumpas nurodymas jūsų domeno nustatymuose, įvardijantis, kurioms sertifikatų įmonėms leidžiama išduoti jūsų svetainės 'spynos' saugumo sertifikatą. Jį įjungus, jokia kita įmonė negali tyliai sukurti galiojančio sertifikato jūsų vardu.

Praktinė reikšmė jūsų verslui: Be CAA įrašo, beveik bet kuri iš šimtų pasaulinių sertifikatų įmonių gali išduoti tikrą, pilnai patikimą spynos sertifikatą jūsų domenui – leisdama sukčiui atidaryti tobulą, visiškai 'saugiai' atrodančią jūsų svetainės kopiją, kuri renka jūsų klientų prisijungimus ir kortelių detales, o ekrane nieko neįspėja.

Ką tai gali kainuoti

• Sukčius gauna tikrą sertifikatą jūsų svetainės kopijai, todėl ji rodo žalią spyną ir HTTPS – jūsų klientai nieko nemato neteisingo, įveda savo slaptažodžius ir kortelių numerius, ir pirmiausia sužinote apie tai, kai ateina grąžinimai ir pikti skambučiai.
• Jūsų klientai yra sukčiaujami per tobulą jūsų prisijungimo puslapio kloną; pasekmės – grąžinimai, palaikymo apkrova, reputacijos žala – patenka ant jūsų prekės ženklo, net jei jūsų tikra svetainė niekada nebuvo paliesta.
• Perspektyvos saugumo ar pirkimų komanda paleido greitą patikrinimą jūsų domene prieš pasirašydama, nemato CAA apsaugos ir tyliai jus pažymi kaip 'silpną pagrinduose' – sandoris rizikuojamas dėl nustatymo, kuriam penkias minutes pridėti.
• Viena iš pasaulio sertifikatų įmonių yra pažeista (tai atsitiko pakartotinai – DigiNotar, Comodo, Symantec), ir kadangi niekada nepateikėte, kas jums leidžiama veikti, jūsų domenas yra atskleistas, kuri iš jų pasirodys silpniausia grandis.

Kodėl tai svarbu. Dabar durys yra plačiai atidarytos: bet kuri pasaulinė sertifikatų įmonė gali garantuoti svetainę, pretenduojančią būti jūsų, nesvarbu, ar kada nors susidūrėte su jais. CAA įrašas užrakina tas duris, kad tik jūsų pasirinktas tiekėjas gali išduoti sertifikatus – tai yra paprasčiausias, pigiausias gynimas nuo apsimetinėjimo jūsų verslu internete.

CAA įrašai, paprastais žodžiais

Kiekviena saugi svetainė turi sertifikatą – dalyką, esantį už naršyklės spynos ir „https” jūsų adreso priekyje. Tuos sertifikatus išduoda specializuotos įmonės, vadinamos sertifikatų institucijomis (SI): tokios kaip Let’s Encrypt, DigiCert, Sectigo, Google Trust Services. Kai jūsų naršyklė mato galiojantį sertifikatą, ji rodo spyną ir sako jūsų klientui, kad ryšys yra tikras ir saugus.

Čia yra dalis, apie kurią dauguma verslininkų niekada nebuvo pasakyta: pagal numatytąjį, šimtai šių sertifikatų institucijų visame pasaulyje kiekvienai iš jų leidžiama išduoti sertifikatą jūsų domenui – nepaisant to, ar kada nors apie juos girdėjote. CAA įrašas (Sertifikavimo institucijos autorizavimas) yra vienos eilutės pastaba, kurią pridedate prie savo domeno DNS nustatymų, kuri iš esmės sako: „tik šie tiekėjai gali man išduoti sertifikatus.” Kiekviena teisėta sertifikatų institucija pagal pramonės taisykles yra reikalinga patikrinti tą pastabą prieš išduodant – ir atsisakyti, jei jų nėra jūsų sąraše.

Tai yra skirtumas tarp atrakintos galinės durys, per kurią gali vaikščioti bet kas, ir kurioje tik jūsų pasirinkti žmonės turi raktą. Ir tai nieko nekainuoja pridėti.

Kiek tai gali jus kainuoti

Rizika, kurią CAA įrašas uždaro, yra įtikinamas apsimetinėjimas. Kai sukčius gali gauti tikrą sertifikatą jūsų svetainės kopijai, įprastiniai įspėjimo ženklai išnyksta – nėra sulaužytos spynos, nėra „nesaugus” reklamjuostės, nėra sertifikato klaidos. Viskas atrodo gerai, o tai tiksliai yra kas tai daro pavojinga.

• Tobulas klastotė. Sukčius registruoja panašiai atrodantį adresą (arba pažeidžia kelią iki jūsų klientų), gauna tikrą sertifikatą ir sukuria tobulą jūsų prisijungimo ar kasos puslapio kloną – su spyna ir visu tuo. Klientai įveda slaptažodžius ir kortelių numerius kaip įprastai. Pirmiausia apie tai sužinote iš grąžinimų, sukčiavimo ataskaitų ir piktų telefono skambučių bangos.
• Sukčiavimo kampanija jūsų vardu. Užpuolikai siunčia „prašome patvirtinti savo paskyrą” el. laiškus, nukreipiančius į jų sertifikuotą jūsų svetainės kloną. Kadangi puslapis atrodo visiškai saugus, daugiau žmonių jam pasiduoda. Valymas – klientų pranešimas, grąžinimai, palaikymo valandos, nepatogus viešas paaiškinimas – visas patenka ant jūsų, net jei jūsų tikri serveriai niekada nebuvo paliesti.
• Sandoris, kuris stringa kontroliniame sąraše. Didesnio kliento saugumo ar pirkimų komanda nuskaito jūsų domeną prieš pasirašydama. „Nėra CAA įrašo” rodosi kaip raudonas ar geltonas elementas šalia jūsų vardo. Techniškai tai yra nedidelis dalykas, bet skaitomas kaip „neapima pagrindų”, ir tai gali sulėtinti ar sužlugdyti sutartį, kurią kitaip būtumėte laimėję.
• Sugautas dėl kažkieno kito pažeidimo. Sertifikatų institucija, su kuria niekada nesusidūrėte, yra pažeista – tai nėra hipotetinis; DigiNotar, Comodo ir Symantec visi turėjo rimtų incidentų. Kadangi niekada neapribojote, kas galėtų veikti jūsų vardu, užpuolikas gali gauti galiojantį sertifikatą jūsų domenui per tą silpną SI. CAA įrašas būtų juos atsisakęs.
• Paplačio simbolio aklosios zonos. Net verslai, kurie yra atidūs dėl savo pagrindinės svetainės, dažnai pamiršta subdomenus. Be issuewild taisyklės, užpuolikas, galintis gauti paplačio simbolio sertifikatą, faktiškai gauna raktą prie kiekvieno subdomeno, kurį kada nors turėsite vienu metu.

Nė vienas iš jų nereikalauja rafinuotos atakos prieš jūsų serverius. Jie išnaudoja faktą, kad be CAA įrašo, platesnis sertifikatų sistema yra tiesiog per daug patikima jūsų vardu.

Kas tai iš tikrųjų yra ir kaip atrodo „gerai”

CAA įrašas gyvena jūsų domeno DNS – tuose pačiuose nustatymuose, kurie nukreipia jūsų domeną į jūsų svetainę ir el. paštą. Kiekvienas įrašas turi tris dalis: žymą, žymeklį ir reikšmę. Svarbūs žymekliai:

• issue – įvardija sertifikatų instituciją, leidžiamą išduoti įprastus sertifikatus jūsų domenui. Galite turėti keletą, vieną kiekvienam tiekėjui, kurį teisėtai naudojate.
• issuewild – valdo paplačio simbolio sertifikatus (vieną sertifikatą, apimantį kiekvieną subdomeną, pvz., *.example.com). Jei nenaudojate paplačio simbolio, rekomenduojamas nustatymas juos visiškai blokuoja.
• iodef – neprivalomas kontaktinis adresas, kur būsite informuotas, jei sertifikatų institucija atmeta prašymą dėl jūsų CAA politikos. Tai yra jūsų išankstinis įspėjimas, kad kas nors bandė.

Kaip atrodo „gerai”: bent vienas issue (ar issuewild) įrašas yra, įvardijantis tiekėją(-us), kurį iš tikrųjų naudojate, su paplačio simbolio sertifikatais, apribotais įvardintam tiekėjui arba visiškai blokuojamais. Tai yra kartelė, kurią matuoja šis tikrinimas – jis ieško jūsų domeno CAA įrašų per kelis nepriklausomus sprendėjus ir praeina, kai randa tikrą issue ar issuewild politiką savo vietoje.

Ar tai veikia mano vertinimą? Taip. Trūkstamas CAA įrašas yra vertinamas elementas ir pažymimas vidutinio rimtumo – tai yra tikras atotrūkis, ne tik geras darbas, nes palieka tikrą apsimetinėjimo kelią atvirą. Įrašo pridėjimas uždaro atotrūkį ir išvalo radinį.

Kaip tai ištaisyti (nemokama, ~5 minutės)

Perduokite šį skyrių tam, kas valdo jūsų domeną ar svetainę – pataisymas yra nemokamas. Tai yra mažas DNS pakeitimas, ne atstatymas. Mes imame mokestį tik jei vėliau norėsite, kad toliau stebėtume, ar įrašas išlieka savo vietoje; jo pridėjimas nieko nekainuoja.

1 žingsnis – Sužinokite, kurią sertifikatų instituciją iš tikrųjų naudojate. Tai yra vienas žingsnis, kurį verta atlikti teisingai, nes netinkamo tiekėjo išvardinimas gali blokuoti jūsų kitą atnaujinimą. Dažniausiai pasitaikantys atvejai:

• Let’s Encrypt – naudoja daugelis prieglobų ir valdymo skydelių (cPanel, Plesk) → letsencrypt.org
• Cloudflare (jei jis išduoda jūsų kraštų sertifikatą) → letsencrypt.org, digicert.com, comodoca.com, pki.goog ir ssl.com (Cloudflare naudoja kelis galinės sistemos SI; išvardinkite tuos, kuriuos rodo jo prietaisų skydelis, ar jo pilną rinkinį, kad atnaujinimai niekada nesugadintų)
• Google Workspace / Google Trust Services → pki.goog
• DigiCert → digicert.com
• Sectigo / Comodo → sectigo.com (ir comodoca.com)
• Microsoft 365 / Azure – Microsoft paprastai naudoja DigiCert valdomų sertifikatų → digicert.com (patvirtinkite savo portale)

Jei nesate tikri, pažiūrėkite į savo dabartinį sertifikatą naršyklėje (spustelėkite spyną → sertifikato detalės → „Išduotas”) pamatyti, kas jį išdavė.

2 žingsnis – Prisijunkite prie savo DNS tiekėjo. Tai yra ten, kur gyvena jūsų domeno įrašai – paprastai jūsų registratorius, jūsų žiniatinklio priegloba ar Cloudflare. Raskite DNS įrašų skyrių ir pasirinkite pridėti naują įrašą, tipo CAA (kai kurios sąsajos jį žymi tipu 257).

3 žingsnis – Pridėkite issue įrašą kiekvienam tiekėjui, kurį naudojate. Let’s Encrypt atveju, pavyzdžiui:

example.com.   CAA   0 issue "letsencrypt.org"

Pridėkite vieną issue eilutę kiekvienam teisėtam tiekėjui. Dauguma DNS prietaisų skydelių suteikia atskirus laukus žymei (0), žymekliui (issue) ir reikšmei (SI domenas), todėl nereikia rašyti visos eilutės ranka.

4 žingsnis – Valdykite paplačio simbolio sertifikatus. Jei nenaudojate paplačio simbolio, juos visiškai blokuokite, kad niekas tyliai negalėtų gauti:

example.com.   CAA   0 issuewild ";"

Jei naudojate paplačio simbolio, vietoje to įvardinkite tiekėją: 0 issuewild "letsencrypt.org".

5 žingsnis – (Rekomenduojama) Pridėkite pranešimų adresą. Kad būtumėte informuotas, kai SI atmeta bandymą – jūsų išankstinis įspėjimas, kad kas nors bandė:

example.com.   CAA   0 iodef "mailto:[email protected]"

6 žingsnis – Išsaugokite ir patikrinkite. Paleiskite dig CAA example.com (ar naudokite bet kurį internetinį DNS paieškos įrankį) ir patvirtinkite, kad jūsų įrašai rodosi. Pakeitimai gali užtrukti nuo kelių minučių iki kelių valandų, kol plis per internetą. Jūsų esamas sertifikatas ir visi atnaujinimai toliau veikia – CAA valdo tik naują išdavimą.

Platformų greitos pastabos: Ant Cloudflare – DNS → Įrašai → Pridėti įrašą → tipo CAA. Ant Google Workspace – DNS valdomas jūsų registratoriuje (arba Cloud DNS, jei naudojate) – ten pridėkite CAA įrašus su pki.goog. Ant Microsoft 365 – CAA nenustatoma M365 administratoriaus centre; pridėkite ją ten, kur prieglobsta jūsų domeno DNS, nurodydami savo valdomo sertifikato SI (paprastai DigiCert). Ant bendrų prieglobų (GoDaddy, Namecheap ir pan.) – tai yra tame pačiame DNS skydelyje, kur yra jūsų A ir MX įrašai.

Dažnos klaidos

• Netinkamos SI išvardinimas – ar vienos pamiršimas. Didžiausia realaus pasaulio rizika nėra saugumas, bet savo atnaujinimų blokavimas. Jei naudojate daugiau nei vieną išdavėją (pvz., vienas pagrindinei svetainei ir kitas Cloudflare), išvardinkite juos visus. Abejojant, išvardinkite kelis, kuriais pasitikite, o ne per mažai.
• issue nustatymas, bet paplačio simbolio ignoravimas. Domenas, kuris apriboja įprastus sertifikatus, bet nieko nesako apie paplačio simbolio, vis tiek palieka galingesnį paplačio simbolio kelią atvirą. Visada nustatykite ir issuewild – arba savo tiekėjui, arba ";", kad jį blokuotumėte.
• CAA padėjimas ant netinkamo vardo. CAA skaitoma sertifikatų institucijos tiksliam vardui, kuris yra sertifikuojamas, einant medžiu aukštyn. Nustatant pagrindinėje domeną (viršūnę, pvz., example.com) yra tinkamas žingsnis – jis pagal numatytąjį apima subdomenus, nebent subdomenas nustato savo.
• Prielaida, kad jūsų platforma tai jau padarė. Cloudflare, Google ir Microsoft valdo sertifikatus, bet neprideda CAA įrašų jums. Nebent jūs juos pridėjote, jūsų domenas vis dar yra atidarytas.
• Traktavimas kaip vienkartinis be stebėsenos. Vėlesnis DNS migravimas, registratoriaus pakeitimas ar įrašų „tvarkymas” gali tyliai pašalinti jūsų CAA apsaugą. Verta patikrinti, ar ji vis dar yra, po bet kokio DNS pakeitimo.

Techninė dalis (perduokite tai savo IT asmeniui)

CAA yra apibrėžta RFC 8659 ir vykdoma pagal SI/naršyklės forumo bazinės reikalavimais – kiekviena viešai patikima SI yra reikalinga patikrinti CAA išdavimo metu. Įrašai turi formą <žymė> <žymeklis> <reikšmė>, su žymekliais issue, issuewild ir iodef. Ne tuščia issue ar issuewild politika yra tai, kas tenkina šį tikrinimą; tik iodef buvimas to nedaro (tai yra ataskaitų teikimas, ne autorizavimas).

Tvirta bazinė linija viršūnėje:

example.com.   CAA   0 issue "letsencrypt.org"
example.com.   CAA   0 issuewild ";"
example.com.   CAA   0 iodef "mailto:[email protected]"

Pastabos implementuotojui:

• CAA medžio kilimas: SI vertina CAA nuo prašomo FQDN aukštyn iki viršūnės, sustodama prie pirmojo vardo su CAA įrašų rinkiniu. Viršūnės įrašas todėl apsaugo visus subdomenus, nebent subdomenas publikuoja savą – tai yra naudinga, jei konkretus subdomenas naudoja skirtingą išdavėją.
• Reikšmė ; issuewild reiškia „jokia SI negali išduoti paplačio simbolio” – aiškus atsisakymas. Naudokite jį, kai paplačio simbolio nėra jūsų sąrankos dalis.
• 0 žymė yra išdavėjo kritinė žymė; 0 (nekritinis) yra teisingas normaliam naudojimui. Venkite nustatyti kritinį bitą, nebent visiškai suprante jį, nes klaidingai suprastas kritinis žymeklis gali priversti atitinkamas SI atsisakyti išdavimo.
• Keli išdavėjai: keli issue įrašai yra leidžiami ir pridedami – išvardinkite kiekvieną SI, teisėtai jūsų steke (įskaitant galinės sistemos SI, kurias naudoja jūsų CDN/krašto tiekėjas), kad išvengtumėte atnaujinimo nesėkmių.
• Tikrinimas: dig CAA example.com +short, ar patikrinkite per SI/naršyklės forumo CAA tikrinimo įrankius.
• DNSSEC poravimas: CAA sako SI, kas gali išduoti; DNSSEC sustabdo pačio CAA atsakymo klastojimą tranzitu. Jie papildo vienas kitą – didelės vertės domenams, paleiskite abu.

Nustatymas pas savo tiekėją

Žingsnis po žingsnio populiariems tiekėjams:

• Nustatyti CAA pas GoDaddy
• Nustatyti CAA pas Namecheap
• Nustatyti CAA pas Cloudflare
• Nustatyti CAA pas AWS Route 53

DUK