本页使用了标题或全文手工转换

DNS证书颁发机构授权

维基百科,自由的百科全书
(重定向自DNS验证颁发机构
跳转至: 导航搜索

DNS证书颁发机构授权英语:DNS Certification Authority Authorization,简称CAA)是一项借助互联网域名系统(DNS),使域持有人可以指定允许为其域签发证书的数字证书认证机构(CA)的技术。这项技术并非意在支持傳輸層安全協議(TLS)连接的客户端进行额外检查(不过,基于DNS的命名实体身份验证英语DNS-based Authentication of Named Entities,缩写DANE,旨在用于此目的),而是要作为CA签发流程中检查的一部分。CAA记录旨在使CA避免在某些情况下错误签发证书,而DANE记录旨在允许依赖的应用程序(TLS客户端)避免信赖在某些情况下错误签发的证书。[1]

“DNS证书颁发机构授权”在RFC 6844中被规定。它定义了一个新的“CAA”DNS资源记录类型,这是一个名称-值对,可以携带已被授权签发证书的CA的范围信息。证书评估器也可以使用CAA记录来检测可能被错误颁发的证书。但是,证书评估器应该考虑CAA记录可能在证书颁发与评估者观察到证书的期间发生过变化。[1]

基本原理[编辑]

根据RFC 6844,每个CAA资源记录包含一个标志(flags)字节和一个属性。CAA记录由下列三个元素表示:

flag(标签)
0-255之间的一个无符号整数。它目前用于表示关键标志,在各RFC中指定具体含义。
tag(标志)
一个ASCII字符串,表示记录代表的属性的标识符。
value(值)
与标签相关联的值。

标志(flag)字节包含可影响记录解释的标志。属性包含的“tag”允许在数种CAA记录之间选择,而“value”字符串的含义取决于tag的选择。目前定义了一个标志:签发者关键(issuer critical)标志,由flags字节的最高有效位表示。如果签发者关键为1(即标志字节为128),则表示不了解或未实现该记录中的属性标签的CA应拒绝为该域颁发证书。这类似X.509证书体系中的关键扩展。

除了标志之外,还定义了三个属性标签:

issue
此属性授权在“值”字段中指定的域的持有人为该属性的发布域颁发证书。
issuewild
此属性类似 issue ,但允许通配符证书。
iodef
此属性指定CA颁发证书时向域持有者报告的方法。并不是所有CA都支持此标签,所以不能保证所有的证书颁发都被报告。

支持[编辑]

服务支持[编辑]

截至2016年 (2016-Missing required parameter 1=month!),CAA记录在下列软件中已获支持:BIND DNS服务器(版本9.10.1B)[2]NSD权威DNS服务器版本4.0.1)[3]Knot DNS服务器(自2.2.0版本)。[4]以及PowerDNS(自4.0.0版本)。[5]

CA支持[编辑]

截至2017年10月 (2017-10),CAA记录已得到[6]亚马逊、Certum、Comodo、DigiCert、Entrust、GlobalSign、GoDaddy、Izenpe、QuoVadis、Starfield GoDaddy、StartCom WoSign、Let's Encrypt、Symantec、GeoTrust、Thawte、T-Telesec、Trustwave、WoSign(沃通)和 GDCA(数安时代)的支持。

标准[编辑]

强制检查[编辑]

最初CAA为自愿实施:CA可以决定是否检查该记录。但是,2017年3月,CA/浏览器论坛投票赞成一项规则,将使所有证书颁发机构强制施行CAA。[7]自2017年9月起,所有证书颁发机构都必须实施CAA检查。[8][9]

参考资料[编辑]

  1. ^ 1.0 1.1 P. Hallam-Baker and R. Stradling. RFC 6844: DNS Certification Authority Authorization (CAA) Resource Record. Internet Engineering Task Force. January 2013. 
  2. ^ Vicky Risk. Certificate Authority Authorization Records. Internet Systems Consortium. August 29, 2014. 
  3. ^ NLNet Labs. NSD: Name Server Daemon Releases. NLNet Labs. January 27, 2014. 
  4. ^ Včelak, Jan. [knot-dns-users] Knot DNS 2.2.0 release. [2016-04-26]. 
  5. ^ Supported Record Types. PowerDNS.com. 
  6. ^ Ghosh, Abhishek. What is CAA DNS Record and How to Add. [2017-04-06]. ISSN 0019-5847. 
  7. ^ [cabfpub] Results on Ballot 187 - Make CAA Checking Mandatory
  8. ^ CA/B Forum批准证书颁发机构授权的提案. SSL中国. 2017-03-15 [2017-05-03]. 
  9. ^ 通过新的CAA标准,HTTPS证书颁发更加安全. 沃通. 2017-04-13 [2017-05-03]. 

参见[编辑]