Откуда следует получать идентификаторы эмитента CAA и как их проверять?

Question

Откуда следует получать идентификаторы эмитента CAA и как их проверять?

Тип записи DNS авторизации центра сертификации (CAA) включает issue параметр (также issuewild), который обозначает идентификатор для центра сертификации, которому разрешено выдавать сертификаты для вашего домена. Это нормально, но немного размыто.

Когда вы устанавливаете значение в своих собственных записях CAA, как вы должны выяснить, каким должно быть точное значение для ваших CA? В случае letsencrypt они предоставляют документ, в котором упоминается, что их идентификатор проблемы letsencrypt.org и что это также задокументировано в разделе " Заявление о сертификации" в разделе 4.2.1. Если я проверяю сертификат, я вижу в нем различные поля, однако ни одно из них не соответствует этой строке, хотя есть и такие, которые его содержат. Это не похоже на строгий или надежный способ гарантировать, что CA соответствует тому, что находится в записи CAA - например, тому, что мешает ему соответствовать letsencrypt.org.evilcorp.com?

Это все выполнимо с человеческой точки зрения, но не очень машиночитаемо и уникально для этого CA.

У меня также есть сертификаты от Comodo, и я нашел различные неавторизованные источники, в которых говорится, что их идентификатор проблемы CAA comodoca.com (и другие говорят, что это comodo.com), но я не нашел официального документа, такого как letsencrypt. comodoca.com Строка действительно появляется в некоторых полях моего сертификата, но не в контексте, который я ожидаю, чтобы он был надежно найден - например, имя эмитента COMODO ECC Domain Validation Secure Server CA (COMODO CA Limited from GB) CRL является http://crl.comodoca.com/COMODOECCDomainValidationSecureServerCA.crl и URI OCSP http://ocsp.comodoca.com,

У SSLMate есть генератор записей CAA, и он включает в себя список CA и их идентификаторов эмитента - но откуда эта информация была получена?

Теперь рассмотрим случай проверки - учитывая сертификат и один или несколько идентификаторов эмитента CAA, какие элементы в сертификате следует ожидать, чтобы они точно соответствовали эмитенту CAA? Или эта информация получена из какой-то другой службы, например, из журнала CT?

Итак, вкратце, откуда должны быть получены идентификаторы CAA-эмитентов и как они должны быть проверены достоверно?

6

domain-name-system certificate-authority caa-record

Источник

Synchro 01 дек '17 в 11:18

1 ответ

Решение

Другие вопросы по тегам domain-name-system certificate-authority caa-record

HBruijn 01 дек '17 в 12:37 2017-12-01 12:37 · Accepted Answer · 2017-12-01 12:37

Подходящий RFC 6844 не требует какого-либо стандарта для эмитента, фактически наоборот, он предоставляет почти полную свободу:

Семантика параметров эмитента определяется только эмитентом.

Но чтобы сделать шаг назад: записи CAA, насколько мне известно, не предназначались для использования конечными пользователями для проверки того, выдан ли сертификат TLS, который они получают, правильным издателем сертификата.

Предполагалось, что он будет использоваться (авторитетным) издателем сертификата для проверки того, что ему разрешено выдавать (новый) сертификат для этого хоста / домена.

Только издатель сертификата должен проверить, присутствует ли в записи CAA все, что он ожидает / требует, если запись CAA существует.

Ваш издатель сертификата, то есть ваш CA, должен будет сообщить, какие домены он распознает в записях о выдаче CAA. А также какие, если таковые имеются, другие параметры они требуют.

Например: Comodo, который использует comodo.com для своего онлайн-бренда совершенно бесплатно распознает совершенно другой домен comodoca.com в записях CAA. На самом деле ЦС также не ограничиваются распознаванием только одного домена - например, Comodo распознает четыре разных: comodo.com, comodoca.com, usertrust.com а также trust-provider.com

Примечание. Записи CAA используются только при выдаче сертификата. Обратное проектирование того, какой должна быть запись CAA из действительных сертификатов, которые уже были выданы, не имеет непосредственной цели.

Где можно получить идентификаторы издателей CAA?

Насколько я знаю, нет ничего, что вы могли бы легко автоматизировать в этом отношении, но для ручного подхода: форум CA/Browser требует унифицированного расположения для публикации этой информации:

"Вступивший в силу 8 сентября 2017 года, раздел 4.2 Политики сертификации CA и / или Заявления о практике сертификации ДОЛЖЕН излагать политику или практику CA в отношении обработки записей CAA для полностью квалифицированных доменных имен; эта политика должна соответствовать этим требованиям. указать набор доменных имен эмитента, которые CA распознает в CAA " issue " или же " issuewild msgstr "записи как разрешающие его выдавать."