Aproveite o registro DNS da CAA para autorizar a CA a emitir os certificados TLS.
últimas postagens
O que é DNS CAA?
CAA é um dos tipos de registro DNS que instrui a CA se deve emitir um certificado ou não. Em outras palavras, você está informando ao mundo quem deve emitir seu domínio Certificado SSL/TLS. A implementação do CAA tornou-se obrigatória no final de 2017, por isso é relativamente nova e menos de 5% dos sites populares o implementaram.
Vamos dar um exemplo – etechpt.com possui um site chamado “gf.dev,” que tem o seguinte registro CAA.
gf.dev. 3586 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "comodoca.com" gf.dev. 3586 IN CAA 0 issue "comodoca.com" gf.dev. 3586 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "letsencrypt.org" gf.dev. 3586 IN CAA 0 issue "letsencrypt.org"
Observando os resultados acima, posso obter o certificado emitido apenas pela DigiCert, Comodo e Let’s encrypt. Se eu pedir a Thawte ou outra CA para emitir um certificado para gf.dev, eles não poderão. Além disso, se você prestar atenção, notará que algumas entradas têm problemas e outras têm problemas. Vamos descobrir quais são.
- emitir – instrua a CA a emitir o certificado apenas para esse domínio.
- issuewild – a CA pode emitir o certificado curinga para que possa ser usado em um domínio ou subdomínio.
O registro CAA também oferece suporte a iodef (formato de troca de descrição de objeto de incidente), que permite que o CA envie relatórios de violação para o e-mail ou detalhes de contato especificados.
O que acontece quando nenhum registro CAA é encontrado?
Se um domínio não tiver um registro CAA, qualquer pessoa poderá gerar um CSR para esse domínio e obter o certificado assinado por qualquer CA. Este é um risco de segurança.
Está claro agora?
Existem algumas abreviações que usei acima. Vamos conferir quais são.
- DNS – Sistema de nome de domínio
- CA – autoridade certificadora
- CAA – Autorização da autoridade de certificação
- TLS – Segurança da camada de transporte
- SSL – camada de soquete seguro
Como verificar o registro DNS CAA?
Existem várias maneiras de validar o registro CAA. Se você não quiser sair do seu terminal, poderá verificar usando o comando dig.
dig caa $YOURWEBSITE.COM
Exemplo de etechpt.com.com
[email protected]:~# dig caa etechpt.com.com ; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> caa etechpt.com.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54430 ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 65494 ;; QUESTION SECTION: ;etechpt.com.com. IN CAA ;; ANSWER SECTION: etechpt.com.com. 3600 IN CAA 0 issuewild "comodoca.com" etechpt.com.com. 3600 IN CAA 0 issuewild "letsencrypt.org" etechpt.com.com. 3600 IN CAA 0 issue "comodoca.com" etechpt.com.com. 3600 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" etechpt.com.com. 3600 IN CAA 0 issue "letsencrypt.org" etechpt.com.com. 3600 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" ;; Query time: 7 msec ;; SERVER: 127.0.0.53#53(127.0.0.53) ;; WHEN: Tue Oct 08 07:12:21 UTC 2019 ;; MSG SIZE rcvd: 298 [email protected]:~#
Se você gosta de testar isso remotamente, então você pode usar Testador de DNS CAA ferramenta on-line.
Como adicionar um registro CAA?
Tecnicamente, é da mesma forma que você adiciona outros registros DNS como A, NS, CNAME, etc.
Se você estiver usando Cloudflare, vá para a guia DNS >> adicione um registro e selecione CAA como tipo.
Para GoDaddy, vá para DNS Management e adicione um registro
Se você não tiver certeza de como adicionar, entre em contato com seu provedor de DNS/hospedagem para obter ajuda.
Conclusão
Se ainda não, você deve aproveitar o registro CAA para adicionar uma camada de segurança de domínio. Adicionar um registro CAA não custa nada.
Gostou de ler o artigo? Que tal compartilhar com o mundo?