...

вторник, 18 апреля 2017 г.

«Теперь обязательно»: Выдача SSL-сертификатов с учетом DNS-записи

В этом году публичные организации, отвечающие за распределение сертификатов, в обязательном порядке начнут учитывать специальные DNS-записи. Эти записи позволяют владельцам доменов определять «круг лиц», которым дозволено выдавать сертификаты SSL/TLS (о них мы писали в нашем предыдущем посте) для их домена.


/ Flickr / Jim Pennucci / CC

DNS-записи используются еще с 2013 года, но их применение носило скорее рекомендательный характер, потому центры сертификации (CA — certificate authorities) не были обязаны подчиняться этим правилам. Но вот участники форума CA/Browser, объединяющего создателей популярных браузеров и сертификационные компании, проголосовали за то, чтобы сделать процедуру проверки записи Certification Authority Authorization (CAA) частью процесса выдачи сертификата.

«CAA не станет «серебряной пулей», однако будет еще одним уровнем защиты», — рассказывает Скотт Хелме (Scott Helme), консультант по информационной безопасности.

Это требование вступит в силу 8 сентября, и те CA, которые не смогут его удовлетворить, рискуют получить штрафы. Таким образом, теперь центры сертификации должны будут в обязательном порядке проверять, что запросы на выдачу SSL/TLS-сертификата поступают от владельца домена.

Цель такого решения — снизить число случаев неавторизованной выдачи сертификатов при компрометации центра сертификации или взлома домена, когда злоумышленник может запросить валидный сертификат для скомпрометированного домена у любой сертификатной компании и впоследствии применить его для проведения MITM-атак или перенаправления пользователей на фишинговые ресурсы.

Для формирования записи владельцам доменов можно использовать инструмент CAA Record Generator, который автоматически сгенерирует правильные командные строки.


Дополнением к тегу issue, определяющему легитимных CA, запись будет поддерживать тег iodef, проверка которого также окажется обязательной. Этот тег позволит владельцу домена определить адреса электронной почты или URL, куда CA должны будут отправлять уведомления о подозрительных запросах на сертификаты.

P.S. Вот еще несколько материалов по теме из блога IaaS-провайдера 1cloud:

Комментарии (0)

    Let's block ads! (Why?)

    Комментариев нет:

    Отправить комментарий