Autoryzacja urzędu certyfikacji DNS

Certification Authority autoryzacji DNS ( CAA ) jest DNS- specyfikacja oparta który pozwala posiadaczowi nazwy domeny notować urzędów certyfikacji (CAS), które są dopuszczone do certyfikatów emisyjnych dla tej domeny. Mechanizm ten nie ma służyć jako dodatkowa weryfikacja dla klienta TLS (np. Przeglądarka internetowa w HTTPS, w tym przypadku DANE ), ale raczej jako potwierdzenie / odmowa dla urzędów certyfikacji w procesie wydawania certyfikatów.

Autoryzacja DNS Certification Authority Authorization jest określona w dokumencie RFC  6844. Definiuje ona nowy typ rekordu zasobów DNS: „CAA”, który może przechowywać szeroki zakres informacji przydatnych dla urzędów certyfikacji, takich jak adresy URL upoważnionych organów, które mają wydać certyfikat lub usługa internetowa lub kontaktowy adres e-mail umożliwiający władzom komunikowanie się, a nawet zgłaszanie różnych problemów osobie odpowiedzialnej za nazwę domeny.

Struktura rekordu zasobów CAA

Każdy rekord zasobu CAA składa się z jednobajtowych flag, znacznika i wartości. Wskaźniki służą do wpływania na interpretację rekordu, a etykieta wskazuje, jaki rodzaj informacji znajduje się w polu „wartość”.

Obecnie ustawiana jest tylko jedna flaga: krytyczny wydawca jest reprezentowany przez najbardziej znaczący bit bajtu. Jeśli jest włączona (tj. Wynikowa liczba całkowita jest równa lub większa niż 128), urząd certyfikacji, który nie jest w stanie zrozumieć lub zaimplementować etykiety tego rekordu, musi odmówić wydania certyfikatu dla domeny. Jest to podobne do działania krytycznych rozszerzeń w certyfikatach X509 .

Oprócz bajtu flagi zdefiniowano trzy etykiety:

kwestia upoważnia organ (poprzez swoją nazwę domeny, określoną w polu „wartość”) do wydawania certyfikatów dla domeny, na którą wskazuje rejestracja, Issuewild jest podobny do wydania i jest ukierunkowany na wydawanie certyfikatów wieloznacznych , jod wskazuje sposób, w jaki władze mogą zgłaszać żądanie certyfikatu lub wątpliwości.

Przykłady użycia

W najprostszej formie nagranie wygląda generalnie jak na poniższym przykładzie. Organ ExampleNet (i tylko on) jest upoważniony do wydawania certyfikatów dla domeny example.com , a także dla www.example.com i www.subdomain.example.com dzięki hierarchicznemu mechanizmowi weryfikacji:

example.com. CAA 0 issue "ca.example.net"

Poniższy przykład celowo ma niepotrzebną złożoność, aby podkreślić pewne potencjalnie niefortunne zachowania:

  • wskaźnik na poziomie 128 na iodef oznacza, że ​​organ jest upoważniony do certyfikacji tylko wtedy, gdy wie, jak zarządzać etykietą iodef ,
  • Urzędy certyfikacji Wikipedii i Wikimedia mogą wydawać certyfikaty dla example.com i tylko wtedy, gdy wiedzą, jak zarządzać tagiem oops , wydawać również certyfikaty dla www.example.com ,
  • organ Creative Commons może wydać certyfikat z symbolem wieloznacznym * .example.com, ale nie może uwzględniać w nim domeny example.com (może złożyć skargę na adres [email protected] ),
  • nikt nie jest upoważniony do certyfikowania nocerts.example.com, ale nie ma to wpływu na certyfikat wieloznaczny, który nadal będzie obejmował go.
example.com. CAA 0 issue "wikipedia.example.net" CAA 0 issue "wikimedia.example.net" CAA 0 issuewild "creative-commons.example.net" CAA 128 iodef "mailto:[email protected]" www.example.com. CAA 128 oups "typo" nocerts.example.com. CAA 0 issue ";"

Kompatybilne serwery DNS

Rekordy zasobów CAA (RR) są obsługiwane przez serwer BIND DNS (wersja 9.10.1B i nowsze), NSD (od wersji 4.0.1), serwer Knot DNS (od wersji 2.2.0) i PowerDNS (od wersji 4.0.0) .

Bibliografia

  1. (w) "  DNS Autoryzacja Certification Authority (CAA) zasobów Record  " Prośba o komentarze n o  6844,Styczeń 2013.
  2. „  Przetwarzanie urzędu certyfikacji  ” , IETF
  3. Vicky Risk, „  Rejestr autoryzacji urzędu certyfikacji  ” , konsorcjum systemów internetowych,29 sierpnia 2014
  4. NLNet Labs, „  NSD: Name Server Daemon Releases  ” , NLNet Labs,27 stycznia 2014
  5. Jan Včelak , „  [knot-dns-users] Knot DNS wersja 2.2.0  ” (dostęp 26 kwietnia 2016 r. )
  6. „  Obsługiwane typy rekordów  ” , PowerDNS.com

Zobacz też