Autorisasjon for DNS-sertifiseringsmyndighet

DNS Certification Authority Authorization ( CAA ) er en DNS- basert spesifikasjon som lar innehaveren av et domenenavn oppgi sertifiseringsmyndigheter (CAer) som er autorisert til å utstede sertifikater for det domenet. Denne mekanismen skal ikke tjene som ytterligere bekreftelse for en TLS-klient (nettleser i HTTPS, for eksempel, se DANE i dette tilfellet), men snarere som bekreftelse / avslag til sertifiseringsmyndighetene i sertifikatutstedelsesprosessen.

Autorisasjon for DNS-sertifiseringsmyndighet er spesifisert av RFC  6844. Den definerer en ny type DNS-ressurspost: "CAA", som kan lagre et bredt spekter av informasjon som er nyttig for sertifiseringsmyndigheter, for eksempel URL-er til autoriserte myndigheter for å utstede et sertifikat eller som en nettjeneste eller en kontakt-e-postadresse som lar myndighetene kommunisere eller til og med rapportere ulike bekymringer til personen som er ansvarlig for domenenavnet.

Struktur av CAA-ressursposten

Hver CAA-ressurspost består av enkeltbyte-flagg, en tagg og en verdi. Indikatorene brukes til å påvirke tolkningen av posten, og etiketten indikerer hvilken type informasjon som finnes i "verdi" -feltet.

For øyeblikket er bare ett flagg satt: den kritiske utstederen er representert av den viktigste biten av byten. Hvis det er aktivert (dvs. det resulterende heltallet er lik eller større enn 128), må sertifiseringsmyndigheten som ikke er i stand til å forstå eller implementere etiketten til denne posten, nekte å utstede et sertifikat for domenet. Dette ligner på hvordan kritiske utvidelser fungerer i X509-sertifikater .

I tillegg til flaggbyte er tre etiketter definert:

utgave autoriserer en autoritet (via domenenavnet, spesifisert i "verdi" -feltet) til å utstede sertifikater for domenet som registreringen peker til, issuewild ligner på utstedelse og er rettet mot å utstede jokertegnesertifikater , jod indikerer en måte for myndighetene å rapportere om en sertifikatforespørsel eller bekymring for.

Eksempler på bruk

I sin enkleste form ser opptaket generelt ut som eksemplet nedenfor. EksempelNet-autoriteten (og bare den) er autorisert til å utstede sertifikater for domenenavnet example.com , så vel som for www.example.com og www.subdomain.example.com takket være den hierarkiske verifiseringsmekanismen:

example.com. CAA 0 issue "ca.example.net"

Eksemplet nedenfor har bevisst unødvendig kompleksitet for å markere visse potensielt uheldige atferd:

  • indikatoren ved 128 på iodef innebærer at en myndighet kun er autorisert til å sertifisere hvis den vet hvordan den skal håndtere iodef- etiketten ,
  • Wikipedia og Wikimedia sertifiseringsmyndigheter har lov til å utstede sertifikater for eksempel.com, og bare hvis de vet hvordan de skal administrere oops- koden , kan de også utstede for www.eksempel.com ,
  • Creative Commons-myndigheten kan utstede et wildcard * .example.com- sertifikat, men kan ikke inkludere example.com (det kan klage til [email protected] ),
  • ingen er autorisert til å sertifisere nocerts.example.com, men dette har ingen innvirkning på jokertegnesertifikatet som fortsatt vil omfatte det.
example.com. CAA 0 issue "wikipedia.example.net" CAA 0 issue "wikimedia.example.net" CAA 0 issuewild "creative-commons.example.net" CAA 128 iodef "mailto:[email protected]" www.example.com. CAA 128 oups "typo" nocerts.example.com. CAA 0 issue ";"

Kompatible DNS-servere

CAA Resource Records (RRs) støttes av BIND DNS-server (versjoner 9.10.1B og nyere), NSD (siden versjon 4.0.1), Knot DNS-server (siden versjon 2.2.0) og PowerDNS (siden versjon 4.0.0) .

Referanser

  1. (in) "  DNS Authorization Certification Authority (CAA) Resource Record  " Forespørsel om kommentarer nr .  6844,Januar 2013.
  2. "  Certification Authority Processing  " , IETF
  3. Vicky Risk, "  Certificate Authority Authorization Records  " , Internet Systems Consortium,29. august 2014
  4. NLNet Labs, “  NSD: Name Server Daemon Releases  ” , NLNet Labs,27. januar 2014
  5. Jan Včelak , "  [knot-dns-users] Knot DNS 2.2.0 release  " (åpnet 26. april 2016 )
  6. "  Støttede opptakstyper  " , PowerDNS.com

Se også