防止域名证书劫持阿里云解析率先支持CAA

  摘要: 2017年3月,CA浏览器论坛投票通过187号提案,要求CA机构从2017年9月8日起执行CAA强制性检查。CAA标准使得网站所有者,仅授权指定CA机构为自己的域名颁发证书,以防止HTTPS证书错误签发。

  2015年发生过一起著名的沃通误签发GitHub域名SSL证书事件,用户在使用及schrauger.github.io的个人子页面权限,获取沃通信任后,成功拿到了、github.io、这几个域名的证书。此时,如果把用户的访问流量劫持到本地服务器,那么浏览器就能访问位于本地的伪造GitHub钓鱼网站,HTTPS安全加密通信将没有任何作用。

  据权威部门统计,全球约有上百个证书颁发机构(CA)有权发放HTTPS证书,证明您网站的身份。但是证书颁发机构由于某些原因,往往会被浏览器列入黑名单 ,并公开宣布将不再信任其签发的https证书。所以当你访问到部署了这些证书的网站时,部分浏览器比如谷歌、火狐会提示https证书不受信任,浏览器地址栏的https也会被划上一条小红线,网页不能访问,如图所示。

  今年6月1日,《中华人民共和国网络安全法》正式实施,标志着网络安全已得到国家的高度重视。其中,第二十一条规定,网络运营者有承担采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施的义务。因此,迫切需要一项公共标准来授权域名所有者指定允许为其域名颁发HTTPS证书的机构。

  CAA标准使得网站所有者,仅授权指定CA机构为自己的域名颁发证书,以防止HTTPS证书错误签发。

  目前,阿里云云解析DNS作为国内最大的权威DNS服务商,已率先支持CAA记录类型。那么怎样设置CAA记录?CAA记录具体表示什么意思呢?

  例如:我只允许midengd.xyz的证书是发的,并且如果有违规通知我的邮箱。

  自今年4月份决定,所有CA机构颁发SSL证书前必须要求对颁发证书对象的域名进行CAA检测以来,以将近8个月的时间。目前,海外Route53、dyn、Cloudflare等主要DNS服务商均已支持CAA记录,但是国内的普及程度还没有跟上步伐。

  加强网络安全需要从一点一滴开始,不放过任何一个风险点才能不给不法分子有机可乘。随着社会网络安全意识的整体提高,CAA记录作为加强网站安全的措施之一,必将会成为金融机构、电子政务、公共服务等行业的一项网络安全基准要求,也会有越来越多的DNS服务商的支持CAA记录,CAA普及也只是时间问题。

您可能还会对下面的文章感兴趣: