مقامات صدور گواهی موظفند سوابق منابع CAA را قبل از صدور گواهی بررسی کنند
قبل از اینکه یک مرجع صدور گواهی (CA) بتواند یک گواهی TLS/SSL برای دامنه شما صادر کند، باید سوابق منبع (RRs) مجوز مرجع صدور گواهی DNS (CAA) دامنه را بررسی، پردازش و رعایت کند. به رای 125 - سوابق CAA [تصویب]، RFC 6844، و رای 219 مراجعه کنید: نحوه رسیدگی به مجموعههای رکورد CAA بدون برچسب ویژگی "issue"/"issuewild" را روشن کنید.
مهم
سابقه منبع CAA برای DigiCert برای صدور گواهیهای TLS/SSL برای دامنههای شما مورد نیاز نیست. اطلاعات ارائه شده در اینجا فقط در صورتی مهم است که در یکی از این شرایط قرار دارید:
سوابق منابع CAA را برای دامنه های خود تنظیم کنید
برای افزودن سوابق منابع CAA برای دامنه های خود برنامه ریزی کنید
برای کسب اطلاعات در مورد مزایای CAA، به وبلاگ ما، مزایای امنیتی CAA مراجعه کنید.
فرآیند CAA RR چگونه کار می کند
قبل از صدور گواهی TLS/SSL برای یک دامنه، یک CA (مانند DigiCert) RR های CAA دامنه را بررسی می کند تا تأیید کند که آنها مجاز به صدور آن گواهی هستند. در صورتی که یکی از شرایط زیر وجود داشته باشد، یک CA می تواند برای یک دامنه گواهی صادر کند:
آنها یک CAA RR برای دامنه شما پیدا نمی کنند.
آنها یک CAA RR برای دامنه شما پیدا می کنند که به آنها اجازه می دهد آن گواهی را صادر کنند.
آنها فقط RRهای CAA را برای دامنه شما بدون برچسب ویژگی "issue" یا "issuewild" پیدا می کنند.
پس از ایجاد یک رکورد منبع CAA (RR) که به DigiCert اجازه میدهد تا گواهیهای TLS/SSL را برای یک دامنه صادر کند، شما عملاً مجوز صدور گواهینامه برای آن دامنه را به کلیه مراجع صدور گواهی دیگر (CAs) لغو کردهاید. تنها راه اجازه دادن به CA دیگر برای صدور گواهینامه برای آن دامنه، ایجاد CAA RR دیگر برای آن CA است.
به این ترتیب، سوابق منابع CAA کنترل دقیقی را بر صدور گواهی برای دامنه امکان پذیر می کند. این کنترل از صدور گواهینامه برای دامنه شما توسط مقامات گواهی غیرمجاز جلوگیری می کند.
مهم
اگر CAA RR برای دامنه خود ندارید، هر CA می تواند گواهینامه های TLS/SSL را برای آن صادر کند.
اگر یک CAA RR دارید که یک CA خاص را برای صدور گواهینامه برای دامنه شما مجاز می کند، همه CA های دیگر باید یک CAA RR پیدا کنند که به طور خاص به آنها اجازه می دهد یک گواهی TLS/SSL برای آن صادر کنند. اگر آنها یکی را پیدا نکنند، نمی توانند گواهی را صادر کنند.
به یاد داشته باشید، هنگام استفاده از CAA RR برای دامنه های خود، CAA RR های کافی برای پشتیبانی از الزامات گواهی TLS/SSL سازمان خود ایجاد کنید.
مجوز CA برای گواهیهای برند DigiCert، Thawte، GeoTrust و RapidSSL
Digicert با دستیابی به امنیت وب سایت Symantec و راه حل های مرتبط با PKI ، مارک های گواهینامه پیشرو این صنعت را تحت یک مجوز - Digicert - Digicert جمع آوری کرد. هنگام ایجاد یک CAA RR برای yourdoman. com که به Digicert اجازه می دهد گواهینامه های TLS/SSL را برای آن صادر کند (yourdomain caa 0 شماره "digicert. com") ، شما به Digicert اجازه می دهید تا گواهینامه های DIGICERT ، THAWTE ، GEOTRUST و RAPIDSSL را صادر کند. برای آن دامنه
در زیر مقادیر معتبر CAA RR وجود دارد که در حال حاضر می توانید در سوابق CAA خود از آن استفاده کنید تا DIGICERT را صادر کنید تا گواهی TLS/SSL خود را صادر کند:
تمام مقادیر ذکر شده در بالا معادل هستند. به عبارت دیگر ، شما می توانید از هر یک از این مقادیر استفاده کنید تا DIGICERT اجازه دهید گواهینامه های TLS/SSL را برای کلیه مارک های گواهی DIGICERT صادر کند.
آیا قصد دارید DNS CAA RRS را برای دامنه های خود ایجاد کنید؟اطمینان حاصل کنید که سوابق شما به روز و دقیق است.
Digicert توصیه می کند قبل از سفارش گواهینامه های TLS/SSL ، DNS CAA RRS موجود دامنه های خود را بررسی کنید. تأیید کنید که شما سوابق مربوط به هر CA را مجاز به صدور گواهینامه های TLS/SSL برای دامنه های خود دارید. ما همچنین قبل از ایجاد DNS CAA RRS جدید برای یک دامنه ، فرایند را درک می کنیم. اجازه ندهید که یک CAA RR به طور تصادفی از صدور گواهینامه مورد نیاز در اسرع وقت جلوگیری کند.
سابقه منابع DNS CAA چیست؟
سوابق منابع مجوز مجوز (CAA) (RRS) به صاحبان دامنه اجازه می دهد تا سیاست هایی را ایجاد کنند که به مقامات گواهینامه خاص (CAS) اجازه صدور گواهینامه TLS/SSL را برای حوزه های مرتبط خود بدهد. صاحبان دامنه می توانند از CAA RRS برای ایجاد سیاست های امنیتی برای کل دامنه (به عنوان مثال ، مثال. com) یا یک نام میزبان خاص استفاده کنند (به عنوان مثال ، mail. example. com).
هنگامی که یک CAA RR را برای دامنه پایه خود ایجاد می کنید ، یک سیاست چتر برای زیر دامنه های آن در آن خط مشی ایجاد می کنید ، مگر اینکه یک CAA RR جداگانه برای یک زیر دامنه خاص ایجاد کنید. آیا به عنوان مثال CAA RR دارید اما می خواهید یک خط مشی امنیتی متفاوتی برای mail. example. com ایجاد کنید؟یک CAA RR اضافی را به طور خاص برای زیر دامنه نامه ایجاد کنید.
با ایجاد این رکورد، هنگامی که یک گواهی TLS/SSL برای mail. example. com سفارش می دهید، CA از DNS شما برای CAA RR برای آن زیر دامنه درخواست می کند. اگر CA رکوردی برای mail. example. com پیدا کند، جستجو متوقف میشود و آنها آن خطمشی را برای سفارش گواهی اعمال میکنند. اگر CA رکوردی برای mail. example. com پیدا نکرد، درخواست DNS خود را برای CAA RR در دامنه اصلی خود، example. com ادامه میدهد. اگر CA رکوردی برای example. com پیدا کند، خطمشی دامنه اصلی را برای سفارش گواهی برای mail. example. com اعمال میکند.
یک رکورد منبع مجوز مرجع صدور گواهی (CAA) (RR) شامل یک پرچم تک بایت و یک جفت برچسب-مقدار است که به عنوان یک ویژگی به آن اشاره میشود، به بخشهای 3، 5. 1 RFC 6844 مراجعه کنید.
پرچم یک عدد صحیح تخصیص نیافته بین 0-255 است. تگ در جفت tag-value ممکن است از حروف و اعداد US-ASCII تشکیل شده باشد، در حالی که مقدار یک رشته هشتگانه است که مقدار ویژگی tag-value را نشان می دهد.
برچسب های دارایی CAA RR
شما می توانید چندین ویژگی را با یک دامنه با انتشار چندین CAA RR برای آن نام دامنه مرتبط کنید. با این حال، هر CAA RR فقط می تواند به یک CA اجازه دهد تا گواهینامه (یا در برخی موارد، یک نوع گواهی) برای دامنه شما صادر کند.
برای اجازه دادن به چندین CA برای صدور گواهی برای دامنه شما، باید حداقل یک CAA RR برای هر CA ایجاد کنید (در برخی موارد، دو CAA RR). برای راهنمایی در تنظیم CAA RR های خود، از CAA Record Helper دیدن کنید.
از این برچسب ویژگی برای اجازه دادن به یک CA (مانند DigiCert) برای صدور گواهی برای دامنه شما و *. yourdomain استفاده کنید. هنگام پردازش یک سفارش گواهی برای yourdomain یا *. yourdomain، CA از DNS دامنه برای CAA RRهای حاوی برچسب ویژگی "issue" درخواست می کند. اگر CA فقط یک برچسب دارایی "issue" و آن تگی را پیدا کند که به آنها اجازه صدور گواهی برای yourdomain را می دهد، آنها می توانند گواهی برای yourdomain و *. yourdomain صادر کنند.
برای اجازه دادن به چندین CA برای صدور گواهی برای دامنه شما و *. yourdomain، باید یک CAA RR منحصر به فرد برای هر CA ایجاد کنید.
از این تگ ویژگی برای اجازه دادن به یک CA (مانند DigiCert) برای صدور گواهی برای *. yourdomain استفاده کنید. هنگام پردازش یک سفارش گواهی برای *. yourdomain، CA از DNS دامنه برای CAA RRهای حاوی برچسب ویژگی "issuewild" درخواست می کند.
اگر CA یک برچسب دارایی "issuewild" پیدا کند، بررسی می کند که آیا به آنها اجازه صدور گواهی برای *. yourdomain را می دهد یا خیر.
اگر CA یک برچسب دارایی "issuewild" پیدا نکرد، به دنبال یک برچسب ویژگی "issue" میگردد که به آنها اجازه میدهد برای دامنه شما و *. yourdomain گواهی صادر کنند.
برای مجاز بودن چندین CAS برای صدور گواهینامه برای *YourDomain ، شما باید یک CAA RR منحصر به فرد برای هر CA ایجاد کنید.
برچسب املاک "شماره" به CA اجازه می دهد تا گواهینامه را برای *. yourdomain ، *. sub. yourdomain ، *. sub. sub. yourdomain ، و غیره صادر کند.، sub. yourdomain ، sub. sub. yourdomain ، و غیره
در صورت استفاده صحیح ، ویژگی "شماره" می تواند ابزاری مؤثر برای ایجاد سیاست های صدور گواهینامه باشد.
به عنوان مثال ، شما سه "شماره" CAA RR را برای yourdomain ایجاد می کنید. بعداً ، شما تصمیم می گیرید که فقط می خواهید یکی از این CA ها گواهینامه هایی را برای *yourdomain صادر کند. بنابراین ، شما یک "شماره" CAA RR ایجاد می کنید که اجازه می دهد CA برای صدور گواهینامه *. yourdomain صادر کند. هر سه CA می توانند همچنان به صدور گواهینامه برای YourDomain ادامه دهند ، اما اکنون فقط یک CA می تواند یک گواهی برای *YourDomain صادر کند.
DIGICERT را به صدور گواهینامه های Wildcard برای یک دامنه اجازه دهید
هنگامی که یک گواهی را برای *. yourdomain سفارش می دهید ، Digicert شامل yourdomain در گواهینامه بدون هزینه اضافی است. این مسئله هنگام ایجاد "مسئله" و "مسئله" و "مسئله" برای دامنه های شما با استفاده از چندین CAS ایجاد می کند.
به عنوان مثال ، Digicert شامل YourDomain با سفارش گواهی شما برای *. yourdomain است. بنابراین ، اگر چندین CAS را به صدور گواهینامه برای yourdomain اجازه می دهید ، از یکی از گزینه های زیر استفاده کنید تا Digicert بتواند گواهینامه های شما را صادر کند.
فقط از برچسب "شماره" استفاده کنید و یک "شماره" CAA RR را برای Digicert ایجاد کنید
مگر اینکه دلیل خاصی برای ایجاد یک "مسئله" CAA RR برای YourDomain داشته باشید ، این کار را نکنید. مدیریت فقط "شماره" CAA بسیار ساده تر است:
یک "شماره" CAA RR و "شماره" برای Digicert ایجاد کنید
اگر خط مشی سازمان اجازه آن را داد و شما باید CAA جداگانه ای را برای yourdomain و *. yourdomain. com ایجاد کنید ، دو قانون ایجاد کنید:
یکی مجاز به Digicert برای صدور گواهینامه برای yourdomain
یکی مجاز به Digicert برای صدور گواهینامه برای *. yourdomain
با ما تماس بگیرید
اگر خط مشی سازمان مانع از صدور مجوز DIGICERT برای صدور گواهینامه برای yourdomain می شود ، با ما تماس بگیرید. ما برای یافتن راه حلی برای مشکل تلاش خواهیم کرد تا بتوانیم گواهی شما را برای *YourDomain صادر کنیم.
چگونه CAA RR و CNAME با هم کار می کنند
هنگام درخواست گواهی TLS/SSL برای یک دامنه (به عنوان مثال ، my. blog. example. com) که حاوی یک رکورد CNAME است که به دامنه دیگری اشاره دارد (به عنوان مثال ، my. blog. example. net) ، مرجع گواهینامه (CA) از یک گواهینامه (CA) پیروی می کند. فرآیند خاص (در الزامات پایه [BRS]) برای یافتن یک CAA RR که به آنها اجازه صدور گواهینامه شما را داده است ، ارائه شده است.
مهم
اهداف CNAME
به عنوان یک اقدام پیشگیرانه در برابر حملات فرسودگی منابع ، یک CA فقط لازم است تا 8 هدف CNAME را دنبال کند (8 یا کمتر سوابق CName: blog. example. com یک cname برای blog. example. net است ، که یک cname برای وبلاگ است. به عنوان مثال. org ، و غیره ، هشت سطح عمق).
این روند از نام دامنه در درخواست گواهی شروع می شود و به دامنه سطح بالا ادامه می یابد. در صورت یافتن CAA RR ، این روند در هر نقطه متوقف می شود. CAA RRS تعیین می کند که آیا CA مجاز به صدور گواهینامه شما است یا خیر.
مرحله 1: CA CAA RRS را برای نام دامنه در درخواست گواهینامه - my. blog. example. com بررسی می کند
اگر CA رکورد CAA را برای دامنه در درخواست گواهینامه پیدا کند ، جستجو متوقف می شود. CA بررسی می کند که آیا سابقه CAA به آنها اجازه می دهد گواهی شما را صادر کنند یا خیر. اگر آنها رکورد را پیدا کنند ، CA گواهی را صادر می کند. اگر آنها سابقه را پیدا نکنند ، CA نمی تواند گواهی را صادر کند.
اگر CA رکورد CAA را برای دامنه در درخواست گواهی پیدا نکند ، جستجوی ضبط CAA همچنان ادامه دارد.
مرحله 2: CA CAA RRS را برای دامنه هدف CNAME - my. blog. example. net بررسی می کند
اگر CA رکورد CAA را برای دامنه هدف CNAME پیدا کند ، جستجو متوقف می شود. CA بررسی می کند که آیا سابقه CAA به آنها اجازه می دهد گواهی شما را صادر کنند یا خیر. اگر آنها رکورد را پیدا کنند ، CA گواهی را صادر می کند. اگر آنها سابقه را پیدا نکنند ، CA نمی تواند گواهی را صادر کند.
اگر CA رکورد CAA را برای دامنه در درخواست گواهی پیدا نکند ، جستجوی ضبط CAA همچنان ادامه دارد.
مرحله 3: CA CAA RRS را برای دامنه والدین دامنه اصلی - blog. example. com بررسی می کند
اگر CA رکورد CAA را برای دامنه والدین دامنه اصلی پیدا کند ، جستجو متوقف می شود. CA بررسی می کند که آیا سابقه CAA به آنها اجازه می دهد گواهی شما را صادر کنند یا خیر. اگر آنها رکورد را پیدا کنند ، CA گواهی را صادر می کند. اگر آنها سابقه را پیدا نکنند ، CA نمی تواند گواهی را صادر کند.
اگر CA رکورد CAA را برای دامنه والدین دامنه اصلی پیدا نکند ، جستجوی CAA همچنان ادامه دارد.
مرحله 4: CA CAA RRS را برای دامنه اصلی دامنه اصلی - Example. com بررسی می کند.
اگر CA رکورد CAA را برای دامنه اصلی دامنه اصلی پیدا کند ، جستجو متوقف می شود. CA بررسی می کند که آیا سابقه CAA به آنها اجازه می دهد گواهی شما را صادر کنند یا خیر. اگر آنها رکورد را پیدا کنند ، CA گواهی را صادر می کند. اگر آنها سابقه را پیدا نکنند ، CA نمی تواند گواهی را صادر کند.
اگر CA رکورد CAA را برای دامنه اصلی دامنه اصلی پیدا نکند ، جستجوی ضبط CAA همچنان ادامه دارد.
مرحله 5: CA CAA RRS را برای دامنه سطح بالای دامنه اصلی دامنه اصلی بررسی می کند.
جستجو متوقف می شود.
اگر CA رکورد CAA را برای دامنه سطح بالای دامنه اصلی پیدا کند. CA بررسی می کند که آیا سابقه CAA به آنها اجازه می دهد گواهی شما را صادر کنند یا خیر. اگر آنها رکورد را پیدا کنند ، CA گواهی را صادر می کند. اگر آنها سابقه را پیدا نکنند ، CA نمی تواند گواهی را صادر کند.
اگر CA رکورد CAA را برای دامنه سطح بالای دامنه اصلی پیدا نکند ، CA گواهی را صادر می کند. اگر CA رکورد CAA را برای دامنه اصلی دامنه اصلی پیدا کند ، جستجو متوقف می شود. CA بررسی می کند که آیا سابقه CAA به آنها اجازه می دهد گواهی شما را صادر کنند یا خیر. اگر آنها رکورد را پیدا کنند ، CA گواهی را صادر می کند. اگر آنها سابقه را پیدا نکنند ، CA نمی تواند گواهی را صادر کند.
