Uden en CAA-record har enhver Certificate Authority i verden tilladelse til at udstede et certifikat til jeres domæne. Enhver CA — inklusiv kompromitterede, useriøse og dem en ondsindet aktør har overbevist om at mis-udstede. En CAA-record begrænser udstedelse til de CA'er I specificerer. Det tager fem minutter at tilføje. De fleste organisationer har endnu ikke gjort det.
Certificate Authority Authorisation-records (CAA) er en DNS-recordtype standardiseret i RFC 6844 og gjort obligatorisk for CA'er at tjekke i 2017. En CAA-record på jeres domæne fortæller certificate authorities hvilke af dem der har tilladelse til at udstede certifikater til det domæne. Enhver CA der tjekker CAA-records — hvilket alle offentligt betroede CA'er nu er forpligtede til at gøre — skal nægte at udstede et certifikat hvis domænets CAA-records ikke autoriserer dem.
Uden en CAA-record er der ingen begrænsning. Enhver CA kan udstede. Med en CAA-record der lister jeres godkendte CA'er er alle andre CA'er forbudt fra at udstede til jeres domæne.
Hvad en CAA-record ser ud som
CAA-records har et ligetil format. En typisk konfiguration der autoriserer Let's Encrypt og DigiCert:
ditdomæne.dk. IN CAA 0 issue "letsencrypt.org" ditdomæne.dk. IN CAA 0 issue "digicert.com" ditdomæne.dk. IN CAA 0 issuewild "letsencrypt.org" ditdomæne.dk. IN CAA 0 iodef "mailto:security@ditdomæne.dk"
De vigtigste felter:
- issue — specificerer en CA autoriseret til at udstede regulære (ikke-wildcard) certifikater
- issuewild — specificerer en CA autoriseret til at udstede wildcard-certifikater. Hvis fraværende gælder
issue-tag for begge. Hvis til stede tilsidesætter detissuefor wildcards. - iodef — en e-mailadresse eller URL hvor CA'er skal rapportere mislykkede udstedelsesforsøg på grund af CAA-politik. Dette giver jer synlighed når nogen forsøger at få et certifikat til jeres domæne fra en uautoriseret CA.
CAA-records arves ned i DNS-træet. En CAA-record på ditdomæne.dk gælder for alle underdomæner medmindre den tilsidesættes af en CAA-record på selve underdomænet. Det betyder at en enkelt CAA-record ved apexen dækker hele jeres domæne.
Hvad CAA beskytter mod
Useriøs CA-udstedelse. Hvis en CA kompromitteres eller tvinges til at udstede svigagtige certifikater, begrænser CAA påvirkningen til CA'er I allerede har autoriseret. En kompromitteret CA der ikke er på jeres CAA-liste kan ikke udstede til jeres domæne.
Social engineering-angreb på CA'er. Angribere har med held udgivet sig for at være domæneejere for at få certifikater fra CA'er. CAA tilføjer et lag af begrænsning — selv hvis en angriber overbeviser en CA om at udstede, skal CA'en først være autoriseret i jeres CAA-records.
Uautoriseret intern udstedelse. Når udviklere eller teams i jeres organisation henvender sig til en ikke-standard CA uden at gå igennem officielle kanaler, giver CAA synlighed via iodef-rapporter.
Mis-udstedelsesdetektion via CT-overvågning. CAA og Certificate Transparency er komplementære kontroller. CAA forhindrer uautoriseret udstedelse. CT-logs opdager det hvis forebyggelse fejler. Se Certificate Transparency forklaret for en fuld gennemgang af hvordan CT-logs fungerer.
Hvad CAA ikke beskytter mod
- CA'er I har autoriseret kan stadig mis-udstede. CAA begrænser hvilke CA'er der kan udstede, men forhindrer ikke mis-udstedelse af autoriserede CA'er.
- CAA tjekkes ved udstedelsestidspunktet, ikke kontinuerligt. En CA tjekker CAA i udstedelsesøjeblikket. Certifikater allerede udstedt af en CA forbliver gyldige indtil de udløber — ændringen er ikke retroaktiv.
- DNS-kompromis underminerer CAA. Hvis en angriber kan ændre jeres DNS-records kan de ændre jeres CAA-records.
Fem trin til at implementere CAA-records i dag
- Identificer hvilke CA'er I bruger. Tjek jeres certifikatoversigt for de udstedende CA'er til alle certifikater der aktuelt er i brug på tværs af jeres domæner. Sørg for at alle er inkluderet i jeres CAA-records inden I tilføjer begrænsningen.
- Tilføj records til jeres primære domæne. Apex CAA-recorden dækker alle underdomæner via arv.
- Tilføj en iodef-record. Konfigurer en sikkerhedsemail som iodef-mål for at få synlighed når CA'er afviser udstedelsesanmodninger.
- Verificer med et CAA-checker. Flere online-værktøjer giver jer mulighed for at verificere at jeres CAA-records er korrekt konfigureret.
- Overvåg CT-logs for overtrædelser. Efter tilføjelse af CAA-records, overvåg CT-logs for certifikater fra CA'er der ikke er på jeres liste — og for potentielle phishing-certifikater udstedt til lookalike-domæner.
Hvordan CertControl overvåger jeres CAA-konfiguration løbende
CertControls eksterne scanner tjekker for CAA-records på alle overvågede domæner og markerer domæner der mangler dem som et sikkerhedsfinding. For domæner der har CAA-records krydsrefererer platformen certifikater fundet i CT-logs mod de autoriserede CA'er i CAA-konfigurationen — og viser øjeblikkeligt certifikater fra uautoriserede CA'er som høj-prioritets findings. Se vores guide til at bygge en komplet certifikatoversigt for en struktureret tilgang til at kortlægge alle certifikater på tværs af jeres domæner.
Ofte stillede spørgsmål
Hvad gør en CAA-record?
En CAA DNS-record specificerer hvilke certificate authorities der har tilladelse til at udstede certifikater til jeres domæne. CA'er er forpligtede til at tjekke den og skal nægte udstedelse, hvis de ikke er autoriserede af domænets CAA-records.
Hvad er forskellen på issue- og issuewild-tags?
issue-tag autoriserer en CA til at udstede regulære certifikater. issuewild-tag autoriserer specifikt wildcard-udstedelse; hvis det er til stede tilsidesætter det issue for wildcards, og hvis det er fraværende gælder issue for begge.
Hvad beskytter CAA ikke mod?
CAA stopper ikke mis-udstedelse fra en CA I har autoriseret, tjekkes kun ved udstedelsestidspunktet og ikke kontinuerligt, kan undermineres hvis jeres DNS kompromitteres, og håndhæves af CA'er frem for browsere.
Hvordan arbejder CAA-records og Certificate Transparency sammen?
CAA forhindrer uautoriseret udstedelse, mens CT-logs opdager det hvis forebyggelsen fejler. Et certifikat der dukker op i CT-logs fra en CA der ikke er på jeres CAA-liste signalerer enten en ikke-compliant CA eller en mis-udstedelse værd at undersøge.
Hvorfor sætte en iodef-record?
iodef-feltet giver CA'er en e-mail eller URL til at rapportere mislykkede udstedelsesforsøg forårsaget af jeres CAA-politik, hvilket giver jer synlighed i rekognoscering eller forsøg på mis-udstedelse mod jeres domæne.