Проверка записи ресурса DNS CAA

Центры сертификации проверяют записи ресурсов CAA перед выдачей сертификата

Прежде чем центр сертификации (ЦС) выдаст сертификат SSL/TLS для вашего домена, он должен проверить, обработать и выполнить требования записей ресурсов (RR) авторизации органа сертификации (АЦС) DNS домена. (см. Бюллетень 125 – Записи АЦС[PASSED], RFC 6844, и Бюллетень 219: Разъяснение обработки наборов записей АЦС без тега свойства "issue"/"issuewild".)

Ресурсная запись АЦС NOT REQUIRED (НЕ ТРЕБУЕТСЯ) для DigiCert для выпуска сертификатов SSL/TLS для ваших доменов. Представленная здесь информация имеет значение только в том случае, если вы находитесь в одной из приведенных ниже ситуаций:

  • У вас уже имеются ресурсные записи АЦС, настроенные для ваших доменов.
  • Вы хотите добавить ресурсная запись АЦС для своих доменов.

Информация по преимуществам АЦС содержится в Преимущества АЦС в сфере безопасности.

Как работает процедура РЗ АЦС

Прежде чем выпускать сертификат SSL/TLS для вашего домена, ЦС (например, DigiCert) проверяет РЗ АЦС, чтобы определить, можно ли выпустить сертификат для вашего домена. ЦС может выпустить сертификат для вашего домена при соблюдении одного из следующих условий:

  • Он не нашел РЗ АЦС для вашего домена.
  • Он нашел РЗ АЦС для вашего домена, который авторизует его для выдачи этого типа сертификата для этого.
  • Он нашел только РЗ АЦС без тегов свойств "issue" или "issuewild" в них для вашего домена.

Мощность одиночной РЗ АЦС

После создания ресурсной записи РЗ АЦС для авторизации DigiCert для предоставления сертификатов SSL/TLS для домена вы однозначно исключаете возможность предоставления сертификата для этого домена для всех других центров сертификации (ЦС). Единственным способом авторизовать другой ЦС для предоставления сертификатов для этого домена является создание другого РЗ АЦС для этого ЦС.

Если РЗ АЦС для домена отсутствует, это означает, что любой ЦС может предоставлять все типы сертификатов SSL/TLS для домена.

Если у вас есть одна РЗ АЦС для домена, это означает, что ЦС должен найти РЗ АЦС, которая авторизует его для выдачи сертификата SSL/TLS для домена. При создании первой РЗ АЦС для домена важно понимать, что теперь вы должны создавать достаточно политик для этого домена с целью поддержки требований сертификатов SSL/TLS вашей организации.

Таким образом ресурсной записи АЦС предоставляют возможность точного контроля за предоставлением сертификата для домена. Этот контроль может использоваться для предотвращения возможности предоставления сертификатов для вашего домена неавторизованными центрами сертификации.

Авторизация ЦС для сертификатов брендов DigiCert, Symantec, Thawte, GeoTrust, RapidSSL

С приобретением средств Symantec по обеспечению безопасности веб-сайтов и связанных решений по PKI, DigiCert свел ведущие бренды отрасли в одном центре сертификации — DigiCert. Когда вы создаете РЗ АЦС для yourdoman.com и выполняете авторизацию DigiCert для предоставления сертификатов SSL/TLS для него (yourdomain CAA 0 issue "digicert.com"), вы авторизуете DigiCert для предоставления сертификатов SSL/TLS брендов DigiCert, Symantec, Thawte, GeoTrust и RapidSSL для этого домена.

То же самое правило действует, когда вы создаете РЗ АЦС и авторизуете Symantec для выдачи сертификатов SSL/TLS для yourdomain.com (yourdomain CAA 0 issue "symantec.com"). Эта отдельная запись дает DigiCert предоставлять сертификаты SSL/TLS брендов DigiCert, Symantec, Thawte, GeoTrust и RapidSSL для этого домена.

Значения ресурсной записи действительной АЦС

Ниже приведены значения действительной РЗ АЦС, которые вы в текущий момент используете в своих записях АЦС для авторизации DigiCert для предоставления своего сертификата SSL/TLS

  • digicert.com
  • www.digicert.com
  • digicert.ne.jp
  • cybertrust.ne.jp
  • symantec.com
  • thawte.com
  • geotrust.com
  • rapidssl.com

Все перечисленные значения равноправны. Другими словами, вы можете использовать любое из значений для предоставления DigiCert полномочий на выдачу сертификатов SSL/TLS для всех брендов, порталов, продуктов и т. д. DigiCert.

Проверка правильности конфигурации своих РЗ АЦС

Есть ли у вас или планируете ли вы создать РЗ АЦС DNS для своих доменов? Важно, чтобы ваши записи были актуальными и точными.

DigiCert рекомендует проверить ваши существующие РЗ АЦС DNS для ваших доменов, прежде чем заказывать сертификаты SSL/TLS для них. Проверьте, есть ли у вас необходимые записи для каждого ЦС, авторизованного для выдачи сертификатов SSL/TLS для ваших доменов. Те, кто создает новые DNS РЗ АЦС, должны понимать, как выполняется процедура. Не допускайте создания такой ситуации, когда неправильно сконфигурированная РЗ АЦС ненамеренно не позволяет ЦС предоставить срочно запрашиваемый сертификат.

См. Как редактировать РЗ АЦС DNS домена для получения сертификатов брендов DigiCert.

Что такое ресурсная запись DNS АЦС?

Ресурсные записи (РЗ) авторизации центра сертификации (АЦС) позволяют владельцам доменов создавать политики, которые авторизуют определенные центры сертификации (ЦС) на выдачу сертификатов SSL для привязанных к ним доменов. Владельцы доменов могут использовать РЗ АЦС для создания политик безопасности для всего домена (напр., example.com) или для конкретного имени узла (напр., mail.example.com).

Когда вы создаете РЗ АЦС для своего базового домена, вы фактически создаете зонтичную политику для его субдоменов в этой политике, если только вы не создаете отдельную РЗ АЦС для конкретного субдомена. У вас есть запись РЗ АЦС для example.com, но вы хотите создать другую политику безопасности для mail.example.com? Создайте дополнительный РЗ АЦС специально для почтового субдомена.

После создания этой записи, когда вы заказываете сертификат SSL/TLS для mail.example.com, ЦС запрашивает ваш DNS для РЗ АЦС для этого субдомена. Если ЦС находит запись для mail.example.com, поиск прекращается и он применяет эту политику к заказу на сертификат. Если ЦС не находит запись для mail.example.com, он продолжает выполнять запрос DNS для РЗ АЦС в его родительском домене example.com. Если ЦС находит запись для example.com, он применяет политику родительского домена к заказу на сертификат для mail.example.com.

Синтаксис записи ресурса АЦС DNS

Ресурсная запись (РЗ) авторизации центра сертификации (АЦС) состоит из однобайтового флажка и пары тег-значение, на которую задана ссылка как на характеристику (RFC 6844, разделы 3, 5.1). Флажок представляет собой неназначенную целочисленную переменную в диапазоне 0–255. Флажок в паре тег-значение состоит из букв US-ASCII и цифр, а значение является октетной строкой, отображающей значение характеристики тег-значение.

Теги характеристик РЗ АЦС

Вы можете привязать несколько характеристик к одному домену путем публикации нескольких РЗ АЦС для этого доменного имени. В любом случае, каждая РЗ АЦС может авторизовывать только один ЦС для выдачи сертификатов (или, в некоторых случаях, один тип сертификата) для вашего домена.

Чтобы разрешить нескольким ЦС выдавать сертификаты для вашего домена, вам необходимо создать как минимум одну РЗ АЦС для каждого ЦС (в некоторых случаях — два РЗ АЦС). Для просмотра справочной информации по настройке своих РЗ АЦС используйте Вспомогательное приложение для записей АЦС.

"тег свойства" тэг принадлежности

Используйте этот тег свойства для авторизации ЦС (например, DigiCert) для выдачи только групповых сертификатов для домена. При обработке заказа на групповой сертификат для *.yourdomain ЦС запрашивает DNS домена для РЗ АЦС, содержащих тег свойства "issuewild". Если ЦС находит тег свойства "issuewild", все РЗ АЦС с тегом свойства "issue" для этого домена игнорируются. Для авторизации других ЦС для выдачи только групповых сертификатов для того же самого домена вам необходимо создать уникальный РЗ АЦС для каждого ЦС.

generic
yourdomain CAA 0 issuewild "digicert.com"

Как работает"issuewild" issuewild

Тег свойства "issuewild" авторизует ЦС для выдачи только групповых сертификатов для домена (*.domain.com, *.sub.domain.com, *.sub.sub.domain.com и т. д.). Он не разрешает ЦС выдавать негрупповые сертификаты для домена (*.domain.com, *.sub.domain.com, *.sub.sub.domain.com и т. д.).

Использование"issuewild" тэг принадлежности

При надлежащем использовании тег свойства "issuewild" может быть эффективным инструментом для создания политик предоставления групповых сертификатов.

Например, вы можете создать три РЗ АЦС "issue" для yourdomain. Позднее вы решаете, что вы хотите, чтобы только один из этих ЦС выдавал групповые сертификаты для yourdomain. Итак, вы создаете РЗ АЦС "issuewild", авторизующий этот ЦС для выдачи групповых сертификатов *.yourdomain. Все три ЦС могут продолжать выдавать негрупповые сертификаты для yourdomain, но только один ЦС может выдавать для него групповые сертификаты.

Авторизация DigiCert для выдачи групповых сертификатов для домена

Когда вы заказываете групповой сертификат для *.yourdomain, DigiCert включает yourdomain без дополнительной оплаты. Это представляет проблему, когда вы создаете РЗ АЦС "issuewild" (yourdomain CAA 0 issuewild "digicert.com") для авторизации DigiCert для выдачи групповых сертификатов для ваших базовых доменов и субдоменов.

Потому что мы включаем ваш домен (или mail.yourdomain) в ваш заказ на групповой сертификат для *.yourdomain (или *.mail.yourdomain), вам необходимо использовать один из приведенных ниже вариантов, чтобы мы могли выдать вам ваш групповой сертификат.

  1. Создание РЗ АЦС “issue” для DigiCert

    Если у вас нет конкретной причины для создания РЗ АЦС "issuewild" для yourdomain, не делайте этого. Создание РЗ АЦС "issue" намного проще:

generic
yourdomain CAA 0 issue "digicert.com"
  1. Создание РЗ АЦС “issue” и “issuewild” для DigiCert

    Если политики вашей организации разрешают это, и вам необходимо создать РЗ АЦС “issuewild” для you domain.com, затем — два правила:

generic
yourdomain CAA 0 issue "digicert.com"
yourdomain CAA 0 issuewild "digicert.com"
  1. Свяжитесь с нами

    Если политики вашей организации не позволяют вам авторизовывать DigiCert для выдачи негрупповых сертификатов для вашего домена, свяжитесь с нами, и мы вместе с вами найдем решение проблемы, что позволит нам выдать вам ваш сертификат групповой сертификат.

Ненадлежащее использование"issuewild" issuewild

При ненадлежащем использовании тег свойства "issuewild" может эффективно блокировать выдачу центрами сертификации необходимых сертификатов для домена. При обработке заказов на сертификаты ЦС игнорируют все РЗ АЦС с тегом свойства "issuewild", если только (1) ЦС не обрабатывает заказ на групповой сертификат или (2) тег "issuewild" не является единственной РЗ АЦС для записи.

  1. ЦС обрабатывает заказ на групповой сертификат

    Создавая одиночную запись "issuewild" для своего домена (yourdomain CAA 0 issuewild "digicert.com"), вы тем самым исключаете все другие ЦС без записи "issuewild" из выдачи группового сертификата для этого домена. Если запись была создана не по вашей инициативе, вам необходимо создать дополнительную запись "issuewild" для каждого ЦС, который вы хотите авторизовать для выдачи групповых сертификатов для yourdomain.

  2. РЗ АЦС "issuewild" — создается только тип записи для домена

    Когда вы заказываете негрупповой сертификат для yourdomain, ЦС игнорирует РЗ АЦС "issuewild" для домена, если только РЗ АЦС "issuewild" является единственным типом найденной записи. Если это происходит, ЦС не может выдать негрупповой сертификат для yourdomain.

    Базовая причина использования РЗ АЦС заключается в создании политик выдачи сертификатов для домена. Когда вы создаете отдельную запись "issuewild" для своего домена (yourdomain CAA 0 issuewild "digicert.com") без каких-либо сопровождающих записей "issue", вы говорите две вещи:

    1. Вы авторизуете этот ЦС (и только этот ЦС) для выдачи групповых сертификатов для yourdomain.
    2. Вы не хотите, чтобы какой-либо ЦС выдавал негрупповые сертификаты для yourdomain.
      Вот так работают РЗ АЦС, и таким должно быть ваше намерение при создании только РЗ АЦС "issuewild" для yourdomain.com.

    Когда вы создаете эту первую РЗ АЦС "issuewild" для домена, важно понимать, что вам теперь необходимо создать политику (РЗ АЦС) для обоих типов выполняемой авторизации сертификатов SSL/TLS (негрупповые и групповые).

Как РЗ АЦС и CNAME работают вместе

Когда вы запрашиваете сертификат SSL/TLS для домена (напр., my.blog.example.com), содержащего запись CNAME, указывающую на другой домен (напр., my.blog.example.net), центр сертификации (ЦС) выполняет специальную процедуру (изложенную в базовых требованиях,[БТ)]для нахождения РЗ АЦС, авторизующей его для выдачи вашего сертификата.

Цели CNAME

В качестве превентивной меры для защиты от атак с целью исчерпания ресурсов ЦС необходимо отслеживать до 8 целей CNAME (8 или меньше записей CNAME: blog.example.com является CNAME для blog.example.net, который является CNAME для blog.example.org и так далее на глубину в 8 уровней).

Процедура начинается на доменном имени по запросу на сертификат и продолжается до домена верхнего уровня. Процедура останавливается в любой точке ее выполнения в случае обнаружения РЗ АЦС. РЗ АЦС также определяют, авторизован ли ЦС для выдачи вашего сертификата.

Доступен пример процедуры проверки РЗ АЦС с CNAME

Для просмотра более крупноразмерной версии диаграммы щелкните здесь.

Шаг 1: ЦС проверяет РЗ АЦС для доменного имени на запрос на сертификат–my.blog.example.com.

Если ЦС находит запись АЦС для домена в запросе на сертификат, поиск останавливается. ЦС выполняет проверку, чтобы увидеть, имеется ли запись АЦС, которая авторизует его для выдачи вашего сертификата. Если он найдет запись, ЦС выдает сертификат. Если он не найдет запись, ЦС не сможет выдать сертификат.

Если ЦС не находит запись АЦС для домена в запросе на сертификат, поиск записи АЦС продолжается.

Шаг 2: ЦС проверяет РЗ АЦС для целевого домена CNAME–my.blog.example.net.

Если ЦС находит запись АЦС для целевого домена CNAME, поиск останавливается. ЦС выполняет проверку, чтобы увидеть, имеется ли запись АЦС, которая авторизует его для выдачи вашего сертификата. Если он найдет запись, ЦС выдает сертификат. Если он не найдет запись, ЦС не сможет выдать сертификат.

Если ЦС не находит запись АЦС для целевого домена CNAME, поиск записи АЦС продолжается.

Шаг 3: ЦС проверяет РЗ АЦС для родительского домена оригинального домена–blog.example.com.

Если ЦС находит запись АЦС для родительского домена оригинального домена, поиск останавливается. ЦС выполняет проверку, чтобы увидеть, имеется ли запись АЦС, которая авторизует его для выдачи вашего сертификата. Если он найдет запись, ЦС выдает сертификат. Если он не найдет запись, ЦС не сможет выдать сертификат.

Если ЦС не находит запись АЦС для родительского домена оригинального домена, поиск записи АЦС продолжается.

Шаг 4: ЦС проверяет РЗ АЦС для базового домена оригинального домена–example.com.

Если ЦС находит запись АЦС для базового домена оригинального домена, поиск останавливается. ЦС выполняет проверку, чтобы увидеть, имеется ли запись АЦС, которая авторизует его для выдачи вашего сертификата. Если он найдет запись, ЦС выдает сертификат. Если он не найдет запись, ЦС не сможет выдать сертификат.

Если ЦС не находит запись АЦС для базового домена оригинального домена, поиск записи АЦС продолжается.

Шаг 5: ЦС проверяет РЗ АЦС для домена верхнего уровня оригинального домена–com.

Если ЦС находит запись АЦС для домена верхнего уровня оригинального домена, поиск останавливается. ЦС выполняет проверку, чтобы увидеть, имеется ли запись АЦС, которая авторизует его для выдачи вашего сертификата. Если он найдет запись, ЦС выдает сертификат. Если он не найдет запись, ЦС не сможет выдать сертификат.

Если ЦС не находит запись АЦС для домена верхнего уровня оригинального домена, поиск записи АЦС продолжается.

Дополнительная информация: