OpenForum RSS: Раздел полезных советов: Использование CAA записей в DNS для... https://www.opennet.ru/openforum/vsluhforumID3/112197.html Начиная с сентября 2017 года удостоверяющим центрам предписано обязательно проверять CAA-записи в DNS перед генерацией сертификата. CAA ([[https://tools.ietf.org/html/rfc6844 RFC-6844]], Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, который имеет полномочия для генерации сертификатов для указанного домена. При наличии CAA-записи все остальные удостоверяющие центры обязаны блокировать выдачу сертификатов от своего имени для данного домена и информировать его владельца о попытках компрометации.<br><br>Например, добавление в зону домена example.com записей (для BIND 9.9.6 и более новых выпусков):<br><br> $ORIGIN example.com<br> . CAA 0 issue "letsencrypt.org"<br> . CAA 0 iodef "mailto:security@example.com"<br>или<br> . CAA 0 iodef "http://iodef.example.com/"<br><br><br>указывает на то, что сертификаты для example.com генерируются только удостоверяющим центром Let's Encrypt ([[https://letsencrypt.org/docs/caa/ осуществляется]] проверка владельца домена Использование CAA записей в DNS для защиты от генерации фикт... (h31) https://www.opennet.ru/openforum/vsluhforumID3/112197.html#23 Fri, 13 Oct 2017 08:30:58 GMT Это не для браузеров. Читай ветку http://www.opennet.ru/tips/3028_ssl_https_caa_cert_dns.shtml#10<br> Использование CAA записей в DNS для защиты от генерации фиктивных HTTPS-сертификатов (ACCA) https://www.opennet.ru/openforum/vsluhforumID3/112197.html#22 Tue, 10 Oct 2017 20:18:47 GMT Что-то я не пойму - а как это поможет-то?<br><br>Сценарий - у меня сайт cutekitties.org, SSL от ведущих производителей, CAA в DNS, все дела.<br><br>Клиент заходит из сети Ростелеком. Который тупо перехватывает все запросы на 53 порт и отвечает со своего DNS сервера, на лету подгибая адрес отвечателя через SNAT. Ну, и по мелочи шаманя в ответах, типа CAA для cutekitties.org может быть только РУСОНИКС.РФ.<br><br>Вопрос - и как это поможет клиенту?<br> Использование CAA записей в DNS для защиты от генерации фикт... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/112197.html#21 Thu, 05 Oct 2017 19:20:37 GMT &gt; Браузеры как раз и должны проверять, что полученный сертификат выдан кем то <br>&gt; из списка CAA.<br><br>Браузеры &#8212; не должны. Должен проверять CA при получении запроса на выдачу сертификата.<br> Использование CAA записей в DNS для защиты от генерации фикт... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/112197.html#20 Thu, 05 Oct 2017 19:19:26 GMT Нет такого для браузеров.<br> Использование CAA записей в DNS для защиты от генерации фикт... (Xasd) https://www.opennet.ru/openforum/vsluhforumID3/112197.html#19 Sun, 01 Oct 2017 07:13:41 GMT &gt;&gt; А если злой человек MITM'ит трафик между клиентом и сервером, то он и из DNS может CAA-запись убрать, так что браузеры особо не защитятся. М.б. DNSSEC спас бы, да кто ж его пользует...<br>&gt; а может ли этот злой MITM-человек -- не взирая на DNSSEC просто <br>&gt; выполнить повторное процедуру автоматической выдачи сертификата? делая это для того CA <br>&gt; который в прописан в CAA? (с 99.9% ожидаем что это letsencrypt) <br><br>сам спросил -- сам отвечаю (цитатой):<br><br>&gt; При желании можно уточнить учётную запись под которой разрешено генерировать сертификаты:<br>&gt;<br>&gt; . CAA 0 issue "letsencrypt.org; account=12345" Использование CAA записей в DNS для защиты от генерации фикт... (Xasd) https://www.opennet.ru/openforum/vsluhforumID3/112197.html#18 Sun, 01 Oct 2017 07:12:16 GMT &gt; А если злой человек MITM'ит трафик между клиентом и сервером, то он и из DNS может CAA-запись убрать, так что браузеры особо не защитятся. М.б. DNSSEC спас бы, да кто ж его пользует... <br><br>а может ли этот злой MITM-человек -- не взирая на DNSSEC просто выполнить повторное процедуру автоматической выдачи сертификата? делая это для того CA который в прописан в CAA? (с 99.9% ожидаем что это letsencrypt)<br> Раздел полезных советов: Использование CAA записей в DNS для... (Адекват) https://www.opennet.ru/openforum/vsluhforumID3/112197.html#17 Wed, 27 Sep 2017 04:01:12 GMT прост:<br><br>host -t CAA comodo.com<br>comodo.com has CAA record 0 iodef "mailto:sslabuse@comodoca.com"<br>comodo.com has CAA record 0 issue "comodoca.com"<br><br>host -t CAA sberbank.ru<br>sberbank.ru has no CAA record<br> Использование CAA записей в DNS для защиты от генерации фикт... (al42and) https://www.opennet.ru/openforum/vsluhforumID3/112197.html#16 Sat, 23 Sep 2017 13:19:54 GMT RFC ставит целью не защиты от злых CA, а защиту от злых людей, которые могут обманом получить сертификат на чужой домен от честного CA.<br><br><br>А если злой человек MITM'ит трафик между клиентом и сервером, то он и из DNS может CAA-запись убрать, так что браузеры особо не защитятся. М.б. DNSSEC спас бы, да кто ж его пользует...<br> Использование CAA записей в DNS для защиты от генерации фиктивных HTTPS-сертификатов (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/112197.html#15 Fri, 22 Sep 2017 07:31:15 GMT Какой рфц описывает тоже самое для браузеров?<br>