防止域名证书劫持,阿里云解析率先支持CAA

背景

2015年发生过一起著名的沃通误签发GitHub域名SSL证书事件,用户在使用schrauger.github.com以及schrauger.github.io的个人子页面权限,获取沃通信任后,成功拿到了github.com、github.io、www.github.io这几个域名的证书。此时,如果把用户的访问流量劫持到本地服务器,那么浏览器就能访问位于本地的伪造GitHub钓鱼网站,HTTPS安全加密通信将没有任何作用。
据权威部门统计,全球约有上百个证书颁发机构(CA)有权发放HTTPS证书,证明您网站的身份。但是证书颁发机构由于某些原因,往往会被浏览器列入"黑名单" ,并公开宣布将不再信任其签发的https证书。所以当你访问到部署了这些证书的网站时,部分浏览器比如谷歌、火狐会提示"https证书不受信任",浏览器地址栏的https也会被划上一条小红线,网页不能访问,如图所示。

今年6月1日,《中华人民共和国网络安全法》正式实施,标志着网络安全已得到国家的高度重视。其中,第二十一条规定,网络运营者有承担采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施的义务。因此,迫切需要一项公共标准来授权域名所有者指定允许为其域名颁发HTTPS证书的机构。
CAA(Certification Authority Authorization,即证书颁发机构授权)是一项防止HTTPS证书错误签发的安全措施,于2013年1月通过互联网工程任务组(IETF)的批准列为RFC6844,2017年3月,CA浏览器论坛投票通过187号提案,要求CA机构从2017年9月8日起执行CAA强制性检查。
CAA标准使得网站所有者,仅授权指定CA机构为自己的域名颁发证书,以防止HTTPS证书错误签发。
为网站域名设置CAA记录也成为了提高网站安全性的方法之一。
目前,阿里云云解析DNS作为国内最大的权威DNS服务商,已率先支持CAA记录类型。那么怎样设置CAA记录?CAA记录具体表示什么意思呢?

CAA格式

CAA记录的格式为:[flag] [tag] [value],是由一个标志字节的[flag]和一个被称为属性的标签[tag]-值[value]对组成,可以将多个CAA字段添加到域名的DNS记录中。

字段 说明
flag 0-255之间的无符号整数,用于认证机构限制标志,通常情况下填0,表示如果颁发证书机构无法识别本条信息,就忽略。
tag
目前有三种issue、issuewild、iodef。

  • issue表示:CA授权单个证书颁发机构发布的任何类型的域名证书;
  • issuewild表示:CA授权单个证书颁发机构发布主机名的通配符证书;
  • iodef表示:CA可以将违规的颁发记录URL发送给某个电子邮箱;
value CA的域名或用于违规通知的电子邮箱;

CAA记录示例

例如:我只允许midengd.xyz的证书是symantec.com颁发的,并且如果有违规通知我的邮箱admin@midengd.xyz。

登录阿里云云解析控制台,添加如下两条解析记录,如图所示:

@ 0 issue "symantec.com"
@ 0 iodef "mailto:admin@midengd.xyz"

CAA记录查询

使用 “dig 域名 记录类型”来进行查询

sh-3.2# dig midengd.xyz caa

; <<>> DiG 9.10.5rc1 <<>> midengd.xyz caa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26714
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;midengd.xyz. IN CAA

;; ANSWER SECTION:
midengd.xyz. 600 IN CAA 0 iodef "mailto:admin@midengd.xyz"
midengd.xyz. 600 IN CAA 0 issue "symantec.com"

;; Query time: 577 msec
;; SERVER: 30.26.8.5#53(30.26.8.5)
;; WHEN: Tue Dec 05 18:55:48 CST 2017
;; MSG SIZE rcvd: 114

未来发展前景

自今年4月份决定,所有CA机构颁发SSL证书前必须要求对颁发证书对象的域名进行CAA检测以来,以将近8个月的时间。目前,海外Route53、dyn、Cloudflare等主要DNS服务商均已支持CAA记录,但是国内的普及程度还没有跟上步伐。

加强网络安全需要从一点一滴开始,不放过任何一个风险点才能不给不法分子有机可乘。随着社会网络安全意识的整体提高,CAA记录作为加强网站安全的措施之一,必将会成为金融机构、电子政务、公共服务等行业的一项网络安全基准要求,也会有越来越多的DNS服务商的支持CAA记录,CAA普及也只是时间问题。

时间: 2024-10-24 10:03:05

防止域名证书劫持,阿里云解析率先支持CAA的相关文章

阿里云解析企业版服务上线

本文讲的是阿里云解析企业版服务上线[IT168 云计算]近日,全球域名解析量排名第二的阿里云解析正式推出标准版.旗舰版.尊享版三款企业版产品,以业界领先的域名防护能力更好地满足高端用户对域名解析的安全性要求,为企业级用户提供更全面的安全保障. 阿里云解析是阿里云为全网域名开放的域名解析服务,提供强大稳定智能的解析调度服务,确保用户的顺畅访问体验,实现从域名注册.域名解析到云服务器的一站式购买和管理. 该服务专注于解决用户对云解析服务的安全顾虑,与免费版产品相比,安全性有了极大跃升.用户独享VIP

云计算时代的调度员——阿里云解析(AliDNS)

  阿里云解析诞生记   域名系统(Domain Name System,简称DNS)是整个互联网服务的基础系统之一,负责将人们访问的互联网域名转换为IP地址,这一转换的过程叫做"域名解析", 所以DNS又称"域名解析系统",相当于网络访问的指路牌.DNS承载着所有的互联网访问和智能调度,可以形象的说,DNS就是互联网基础服务的调度员,对互联网访问起着举足轻重的作用.   但事实上,DNS已经成为互联网安全链条上最薄弱的环节,最近几年,由于DNS被攻击或自身稳定问题

一分钟了解阿里云产品:阿里云解析概述

在阿里云的众多产品中,有一个产品叫做阿里云解析.什么是阿里云解析呢?让我们来一起认识一下吧.   什么是阿里云解析呢?   阿里云解析是阿里云为全网域名开放的域名智能解析服务.阿里云解析做为云计算服务的入口,将逐步与阿里云已有云产品进行融合打通,成为云产品大家庭中不可或缺的一份子,ECS.RDS.CDN.SLB等为用户提供高效可靠的计算.存储.网站加速和负载均衡服务,阿里云解析则提供强大稳定的解析调度入口,可以确保用户能有顺畅的访问体验,并为用户提供一站式的服务体验.   阿里云解析是万网DNS

一分钟了解阿里云产品:阿里云解析五大热点技术问题分析

在上一篇文章中,我们为大家介绍云解析的概况,阿里云解析是阿里云为全网域名开放的域名智能解析服务,那在使用过程中,经常遇到的热门技术问题有哪些呢?     快速设置解析:   https://help.aliyun.com/document_detail/dns/quick-start/hichina.html?spm=5176.docdns/simple-intruduction/gaishu.6.98.CXGSmO   域名解析防护:   https://help.aliyun.com/doc

怎么将域名直接指向阿里云服务器上tomcat服务器下的应用

问题描述 怎么将域名直接指向阿里云服务器上tomcat服务器下的应用 而不是通过www.xxx.com:8080/webapp,不用nginx可以吗,新手求教........ 解决方案 域名指向阿里服务器的公网ip 你的tomcat配置使用80端口(而不是8080端口),如果有iis等别的web server占用了端口,先禁用它们. 防火墙允许80端口 域名和服务器备案 其它问题,可以问阿里的客服. 解决方案二: 可以啊,,直接用域名绑定你的阿里云服务器的公网ip就好了

windows server-p12证书在阿里云上隔天就找不到对象

问题描述 p12证书在阿里云上隔天就找不到对象 有一个p12证书安装在阿里云WINDOWS SERVER 服务器上,这个证书安装在"证书(本地计算机)"-"个人" 节点中.安装当天,在证书上右键-管理私钥则正常.第二天右键-管理私钥,就提示找不到对象了,再次安装则正常. 有遇到过的伙计没? 解决方案 是不是这个证书被阿里云清掉了等,看上去更像是系统自动回退了

【云计算的1024种玩法】使用阿里云解析 + RAM 快速签署 Let&#039;s Encrypt 证书

前言 随着互联网的发展,我们对更安全更快速的互联网有了很高的要求,相比大家对网页劫持和网页恶意挂马一定是深恶痛绝了吧,那么怎么杜绝呢?通过 HTTPS 就可以简单有效的杜绝这些行为,当然了,一些高级的劫持手段还是防不胜防. 而且 HTTPS 也有非常多的福利,比如说浏览器的 安全 符号加持,搜索引擎的 SEO 加权等等,如下图的浏览器标识: 如下图的搜索引擎移动加权的 AMP/MIP 技术依赖于 HTTPS: 要求 & 收获 需要使用到的产品: ECS/轻量应用服务器(安装任意 Linux 发行

如何防止域名被劫持及泛解析 如何查看域名是否被劫持及泛解析

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 做站长好几年,虽然一直听朋友说自己域名被泛解析但是由于自己一直没遇到过所以一直没在意,但是在28号自己竟然发现自己在DNSPOD里的域名全被做了泛解析. 现在我的两年半的站www.qichexinxiw.com,在回家的前一天,别人给我3W我没卖(家里有人摔到,急用钱),现在权重重4,掉到了2,快照也变成了08年,别外一个权重2,最高时候也达

Namecheap域名转入到阿里云万网域名平台图解

第一.获取Namecheap域名转移码和解锁 A - 解锁Namecheap域名 在域名面板中,我们可以看到当前需要转出的域名,侧边菜单"RGEISTER LOCK",准备解锁. B.获取Namecheap域名转移码 在上图中,我们可以看到GET EPP CODE按钮,点击后我们可以输入需要填写的域名和账户密码,获取转移码. 这样,我们就可以到域名的WHOIS邮箱中获得域名的转移码,后面我们就到Namesilo商家转入域名. 第二.登录阿里云万网官方网站.转入域名  代码如下 复制代码