Defaults.Exposed › Popravki › Zapisi CAA

Kako popraviti Zapisi CAA

Zapis CAA je kratko navodilo v nastavitvah vaše domene, ki imenuje, katera certifikatna podjetja smejo izdati certifikat varnosti 'ključavnica' za vaše spletno mesto. Ko je vklopljeno, nobeno drugo podjetje ne more tiho ustvariti veljavnega certifikata v vašem imenu.

Bistvo za vaše podjetje: Brez zapisa CAA sme skoraj katera koli od stotih certifikatnih podjetij po vsem svetu izdati pravi, v celoti zaupanja vreden certifikat ključavnice za vašo domeno — prevarancu s tem omogočite, da postavi brezhibno, v celoti 'varno' izgledajočo kopijo vaše strani za pobiranje prijavnih podatkov in podatkov kartice vaših strank, z ničemer na zaslonu, kar bi jih opozorilo.

Kaj vas to lahko stane

Prevarant pridobi pravi certifikat za kopijo vaše strani, tako da prikaže zeleno ključavnico in HTTPS — stranke ne vidijo nič narobe, vtipkajo gesla in številke kartic ter vi za to izveste šele, ko se začnejo povratne obremenitve in jezni klici.
Vaše stranke so phishane prek pikselno-popolnega klona vaše prijavne strani; posledice — povračila, breme podpore, škoda ugledu — padejo na vašo blagovno znamko, čeprav vašega pravega spletnega mesta ni bil dotaknjen nihče.
Varnostna ali nabavna ekipa naročnika pred podpisom na hitro preveri vašo domeno, vidi, da ni zaščite CAA, in vas tiho označi kot 'šibke v osnovi' — naroča posel, ki bi ga sicer dobili, za nastavitev, ki vzame pet minut za dodajanje.
Eno od certifikatnih podjetij na svetu je ogroženo (to se je večkrat zgodilo — DigiNotar, Comodo, Symantec), in ker nikoli niste rekli, kdo je dovoljeno delovati za vas, je vaša domena izpostavljena kateremukoli, ki se izkaže za najšibkejši člen.

Zakaj je to pomembno. Zdaj so vrata široko odprta: katerokoli certifikatno podjetje na Zemlji sme poroštvu za spletno mesto, ki trdi, da je vaše, ne glede na to, ali ste kdaj z njim poslovali. Zapis CAA ta vrata zaklene, tako da le ponudnik, ki ste ga izbrali, sme izdajati certifikate — je najenostavnejša, najcenejša obramba obstajča proti nekomu, ki se ponaša za vaše podjetje na spletu.

Zapisi CAA v preprostem jeziku

Vsako varno spletno mesto ima certifikat — tisto za ključavnico v brskalniku in “https” na začetku vašega naslova. Te certifikate delijo specializirana podjetja, imenovana certifikatne oblasti (CA): imena, kot so Let’s Encrypt, DigiCert, Sectigo, Google Trust Services. Ko brskalnik vidi veljavni certifikat, prikaže ključavnico in stranki pove, da je zveza pristna in varna.

Tukaj je del, ki ga večina lastnikov podjetij ni nikoli bila povedana: privzeto smejo stotine teh certifikatnih oblasti po vsem svetu vsaka izdati certifikat za vašo domeno — ne glede na to, ali ste jih kadarkoli slišali. Zapis CAA (Certification Authority Authorization) je enolinska opomba, ki jo dodate nastavitvam DNS vaše domene in ki v bistvu pravi: “le ti ponudniki smejo izdajati certifikate zame.” Vsaka legitimna certifikatna oblast je po pravilih industrije dolžna preveriti to opombo pred izdajo — in zavrniti, če niso na vašem seznamu.

Je razlika med nezaklenjenim prednjim pragom, skozi katerega sme hoditi kdorkoli, in takim, kjer imajo ključ le tisti, ki ste jih izbrali. In nič ne stane za dodajanje.

Kaj vas to lahko stane

Tveganje, ki ga zapis CAA zapre, je prepričljivo ponarejanje. Ko prevarant sme dobiti pravi certifikat za kopijo vaše strani, opozorilni znaki izginejo — ni zlomljene ključavnice, ni transparenta “ni varno”, ni napake certifikata. Vse izgleda pravilno, kar je natanko to, kar ga naredi nevarnega.

Brezhibna ponaredba. Prevarant registrira podoben naslov (ali ogrozi pot do vaših strank), pridobi pravi certifikat in postavi popoln klon vaše prijavne ali blagajniške strani — z ključavnico in vsem. Stranke normalno vnesejo gesla in številke kartic. Za to prvič izveste z valom povratnih obremenitev, poročil o goljufijah in jeznih telefonskih klicev.
Phishing kampanja v vašem imenu. Napadalci pošljejo e-pošto “prosimo potrdite račun”, ki pelje na certificiran klon vaše strani. Ker stran izgleda v celoti varno, se zanjo prime več ljudi. Čiščenje — obveščanje strank, povračila, ure podpore, nerodni javni razlagi — vse pade na vas, čeprav vaši pravi strežniki niso bili nikoli dotaknjeni.
Posel, ki se zaustavi na kontrolnem seznamu. Večja strankina varnostna ali nabavna ekipa skenira vašo domeno pred podpisom. “Ni zapisa CAA” se pojavi kot rdeč ali jantarni element poleg vašega imena. Tehnično je to majhna stvar, a bere se kot “ne pokrivajo osnov”, in može upočasniti ali potopiti pogodbo, ki bi jo sicer dobili.
Ujeti od kršitve nekoga drugega. Certifikatna oblast, s katero se nikoli niste ukvarjali, je ogrožena — to ni hipotetično; DigiNotar, Comodo in Symantec so imeli vse resne incidente. Ker nikoli niste omejili, kdo za vas sme delovati, napadalec sme dobiti veljavni certifikat za vašo domeno prek tiste šibke CA. Zapis CAA bi mu zavrnil.
Slepa pega za nadomestne certifikate. Celo podjetja, ki so pazljiva glede svojega glavnega mesta, pogosto pozabijo na poddomene. Brez pravila issuewild napadalec, ki dobi nadomestni certifikat, dejansko dobi ključ do vsake poddomene, ki jo bo kdaj imeli hkrati.

Nobena od teh ne zahteva sofisticiranega napada na vaše strežnike. Izkoriščajo dejstvo, da je brez zapisa CAA širši certifikatni sistem preprosto preveč zaupljiv v vašem imenu.

Kaj dejansko je in kako izgleda “dobro”

Zapis CAA živi v DNS vaše domene — iste nastavitve, ki usmerjajo vašo domeno na vaše spletno mesto in e-pošto. Vsak zapis ima tri dele: zastavico, oznako in vrednost. Oznake, ki štejejo, so:

issue — imenuje certifikatno oblast, ki sme izdajati navadne certifikate za vašo domeno. Imate jih lahko več, eno za vsakega ponudnika, ki ga legitimno uporabljate.
issuewild — nadzoruje nadomestne certifikate (en certifikat, ki pokriva vsako poddomeno, npr. *.example.com). Če nadomestnih ne uporabljate, priporočena nastavitev v celoti blokira.
iodef — neobvezni kontaktni naslov, kjer ste obveščeni, če certifikatna oblast zavrne zahtevo zaradi vaše politike CAA. To je vaše zgodnje opozorilo, da je nekdo poskusil.

Kako izgleda “dobro”: vsaj en zapis issue (ali issuewild) je prisoten, ki imenuje ponudnike, ki jih dejansko uporabljate, z nadomestnimi bodisi omejenimi na imenovanega ponudnika ali blokiranimi. To je merilo tega preverjanja — vaše zapise CAA domene poizveduje prek več neodvisnih razreševalcev in prestane, ko najde pravo politiko issue ali issuewild na mestu. Domena brez nobenih zapisov CAA se obravnava kot odprta vrata, ki so.

Ali to vpliva na mojo oceno? Da. Manjkajoči zapis CAA je ocenjeni element in je označen z srednjo resnostjo — je prava vrzel, ne le lepo imeti, ker pusti pravo pot ponarejanja odprto. Dodajanje zapisa zaprli vrzel in počisti ugotovitev.

Kako to popraviti (brezplačno, ~5 minut)

Posredujte ta razdelek komurkoli, ki upravlja vašo domeno ali spletno stran — popravek je brezplačen. Je majhna sprememba DNS, ne prenova. Zaračunamo le, če pozneje radi opazujemo, da zapis ostane na mestu; njegovo dodajanje ne stane nič.

1. korak — Ugotovite, katero certifikatno oblast dejansko uporabljate. To je edini korak, ki je vreden prav narediti, ker navajanje napačnega ponudnika lahko blokira vašo naslednjo obnovo. Pogosti primeri:

Let’s Encrypt — ga uporabljajo številni gostitelji in nadzorne plošče (cPanel, Plesk) → letsencrypt.org
Cloudflare (če izdaja vaš robni certifikat) → letsencrypt.org, digicert.com, comodoca.com, pki.goog in ssl.com (Cloudflare uporablja več zalednih CA; navedite tiste, ki jih prikazuje nadzorna plošča, ali cel nabor, da obnove nikoli ne zlomijo)
Google Workspace / Google Trust Services → pki.goog
DigiCert → digicert.com
Sectigo / Comodo → sectigo.com (in comodoca.com)
Microsoft 365 / Azure — Microsoft navadno za upravljane certifikate uporablja DigiCert → digicert.com (potrdite v portalu)

Če niste prepričani, si oglejte vaš trenutni certifikat v brskalniku (kliknite ključavnico → podrobnosti certifikata → “Izdal”) in poglejte, kdo ga je izdal.

2. korak — Prijavite se v ponudnika DNS. Je tam, kjer živijo zapisi vaše domene — navadno vaš registrar, vaš spletni gostitelj ali Cloudflare. Poiščite razdelek z zapisi DNS in izberite dodajanje novega zapisa tipa CAA (nekateri vmesniki ga označijo kot tip 257).

3. korak — Dodajte zapis issue za vsakega ponudnika, ki ga uporabljate. Za Let’s Encrypt, na primer:

example.com.   CAA   0 issue "letsencrypt.org"

Dodajte eno vrstico issue za vsakega legitimnega ponudnika. Večina nadzornih plošč DNS vam da ločena polja za zastavico (0), oznako (issue) in vrednost (domeno CA), zato celotne vrstice ni treba tipkati ročno.

4. korak — Nadzorujte nadomestne certifikate. Če nadomestnih ne uporabljate, jih v celoti blokirajte, da nihče ne more tiho dobiti enega:

example.com.   CAA   0 issuewild ";"

Če nadomestne imate, namesto tega imenujte ponudnika: 0 issuewild "letsencrypt.org".

5. korak — (Priporočeno) Dodajte obvestitveni naslov. Da vas obvestijo vsakič, ko CA zavrne poskus — vaše zgodnje opozorilo, da je nekdo poskusil:

example.com.   CAA   0 iodef "mailto:[email protected]"

6. korak — Shranite in preverite. Zaženite dig CAA example.com (ali uporabite katero koli spletno orodje za DNS poizvedbo) in potrdite, da se vaši zapisi pojavijo. Spremembe se lahko razširijo od nekaj minut do nekaj ur po internetu. Vaš obstoječi certifikat in vse obnove delujejo ves čas — CAA ureja le novo izdajanje.

Kratke opombe za platforme: Na Cloudflare, DNS → Zapisi → Dodaj zapis → tip CAA. Na Google Workspace DNS upravljate pri vašem registrarju (ali Cloud DNS, če ga uporabljate) — tam dodajte zapise CAA z pki.goog. Na Microsoft 365 CAA ni nastavljen v skrbniškem centru M365; dodajte ga kjerkoli je gostovan DNS vaše domene, in navedite vašo upravljano CA certifikata (navadno DigiCert). Na pogostih gostiteljih (GoDaddy, Namecheap in podobnih), je v istem DNS panelu, kjer živijo vaši A in MX zapisi.

Pogoste napake

Navajanje napačne CA — ali pozabljanje ene. Največje resnično tveganje ni varnost, ampak blokiranje lastnih obnovitev. Če uporabljate več kot enega izdajatelja (npr. enega za glavno stran in drugega za Cloudflare), navedite oba. Kadar ste v dvomu, navedite raje več zaupanja vrednih kot premalo.
Nastavitev issue, a ignoriranje nadomestnih. Domena, ki omejuje navadne certifikate, a o nadomestnih ne pove nič, še vedno pusti zmogljivejšo nadomestno pot odprto. Vedno nastavite prav tako issuewild — bodisi na vašega ponudnika ali na ";", da blokirate.
Vnos CAA na napačno ime. CAA bere certifikatna oblast za natanko ime, ki se certificira, ki hodi po drevesu navzgor. Nastavitev na vrhu vaše domene (vrh, npr. example.com) je pravi poteg — privzeto pokriva poddomene, razen če poddomena nastavi svojo.
Predpostavljanje, da je platforma to že naredila. Cloudflare, Google in Microsoft upravljajo certifikate, a zapisov CAA za vas ne dodajajo. Razen če ste jih sami dodali, je vaša domena še vedno odprta.
Obravnavanje kot enkratno opravljeno brez nadzora. Kasnejša migracija DNS, sprememba registrarja ali “čiščenje” zapisov lahko tiho odstrani vašo zaščito CAA. Vredno je preveriti, da je še vedno tam po kateri koli spremembi DNS.

Tehnična plast (posredujte vaši IT osebi)

CAA je definiran v RFC 8659 in uveljavljan pod bazičnimi zahtevami CA/Browser Forum — vsaka javno zaupanja vredna CA je dolžna preveriti CAA pri izdajanju. Zapisi imajo obliko <zastavica> <oznaka> <vrednost>, z oznakami issue, issuewild in iodef. Neprazna politika issue ali issuewild je tisto, kar zadovolji to preverjanje; sama prisotnost iodef tega ne naredi (je poročanje, ne pooblastitev).

Trdna osnova pri vrhu:

example.com.   CAA   0 issue "letsencrypt.org"
example.com.   CAA   0 issuewild ";"
example.com.   CAA   0 iodef "mailto:[email protected]"

Opombe za izvajalca:

Plezanje po drevesu CAA: CA ocenjuje CAA od zahtevanega FQDN navzgor do vrha, ki se ustavi pri prvem imenu z nastavljenim zapisom CAA. Zapis pri vrhu zato ščiti vse poddomene, razen če poddomena objavi svojo — kar je koristno, ko konkretna poddomena uporablja drugačnega izdajatelja.
Vrednost ; v issuewild pomeni “nobena CA ne sme izdajati nadomestnih” — eksplicitna zavrnitev. Uporabite jo vsakič, ko nadomestni niso del vaše nastavitve.
Zastavica 0 je zastavica kritičnosti za izdajatelje; 0 (nekritično) je pravilno za normalno rabo. Izogibajte se nastavitvi kritičnega bita, razen če ga v celoti razumete, saj napačno razumljeni kritični zapis lahko povzroči, da ustrezne CA zavrnejo izdajanje.
Več izdajateljev: dovoljenih je več zapisov issue in so additivni — navedite vsako CA legitimno v vašem kupu (vključno z zalednimi CA, ki jih vaš CDN/robni ponudnik uporablja) za preprečevanje napak pri obnovitvi.
Preverjanje: dig CAA example.com +short, ali preverite prek testnih orodij CAA CA/Browser Forum.
Kombinacija z DNSSEC: CAA pove CA-jem, kdo sme izdajati; DNSSEC prepreči ponarejanje samega odgovora CAA v tranzitu. Se dopolnjujeta — za domene z visoko vrednostjo zaženite oba.

Nastavite pri svojem ponudniku

Korak za korakom pri priljubljenih ponudnikih:

Pogosta vprašanja

Nisem tehničen — ali se s tem ukvarjam sam?

Podrobnosti ne rabite razumeti, a popravek je majhna sprememba znotraj nastavitev DNS vaše domene, zato ga je najboljše predati komurkoli, ki upravlja vašo spletno stran ali domeno. Pošljite mu razdelek 'Kako to popraviti' spodaj — je petminutna, brezstroškovna sprememba. Zaračunamo le, če bi pozneje radi, da stalno opazujemo, da zapis ostane na mestu; sam popravek je vedno brezplačen.

Ali bo dodajanje tega pokvarilo moje spletno mesto ali moj certifikat?

Ne — dokler na seznam uvrstite certifikatnega ponudnika, ki ga dejansko uporabljate, vse deluje natanko kot prej. Zapis CAA se ne dotika ali nadomešča vašega obstoječega certifikata; ureja le, kdo sme ustvariti nove. Edini način za povzročanje težav je, da pustite pravega ponudnika zunaj seznama, kar lahko blokira vašo naslednjo samodejno obnovo — spodnji koraki so napisani posebej za izogibanje temu.

Če so certifikati danes izdani samodejno, zakaj to še vedno potrebujem?

Samodejni certifikati so v redu in priročni — problem je, da je sistem privzeto odprt za vse, vključno z nekom, ki se pretvarja, da ste vi. Zapis CAA preprosto imenuje, kdo je dovoljen, ter odpre vrata s svojo lastno ključavnico. Deluje vzporedno s samodejnim izdajanjem, ne proti njemu.

Ali to vpliva na mojo uvrstitev Google ali mojo oceno v tem poročilu?

Vpliva na vašo varnostno oceno tukaj — manjkajoči zapis CAA je ocenjeni element, označen kot vrzel srednje resnosti, ker pusti pravo pot ponarejanja odprto. Ni neposredni dejavnik uvrstitve Google, a ponarejanje in phishing, ki ga prepreči, sta natanko tista vrsta incidentov, ki škodujeta zaupanju in prometu. Vsekakor je hitra, brezplačna zmaga.

Kakšna je razlika med 'issue' in 'issuewild'?

Zapis 'issue' nadzoruje navadne certifikate za vašo domeno in njene poddomene. Zapis 'issuewild' nadzoruje nadomestne certifikate — posamezni certifikat, ki pokriva vsako možno poddomeno hkrati (kot *.example.com). Nadomestni so zmogljivejši in zato bolj tvegani v napačnih rokah, zato je dobra praksa nadzirati jih ločeno: če nadomestnih ne uporabljate, jih v celoti blokirajte.

Uporabljamo Cloudflare / Google Workspace / Microsoft 365 — ali to že pokriva?

Ne samodejno. Te platforme za vas upravljajo vaše certifikate, a razen ko ste eksplicitno dodali zapise CAA, vaša domena svetu še vedno sporoča 'katera koli oblast sme izdati'. Dobra novica je, da je popravek enaka preprosta sprememba DNS pri vseh, in tam, kjer Cloudflare ali vaš gostitelj izda vaš certifikat, preprosto navedete tega ponudnika. Opombe za platforme v spodnjem razdelku o popravku pokrivajo pogoste primere.