【学习笔记】SSL/TLS安全机制之CAA

于 2024-09-18 17:28:25 发布
阅读量229 收藏 1
点赞数 5
文章标签: ssl CAA DNS CAA记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Taki_UP/article/details/142336508
版权

1、概念界定

        CAA全称Certificate Authority Authorization,即证书颁发机构授权,每个CA都能给任何网站签发证书。

2、CAA要解决的问题

        例如,蓝色网站有一张橙色CA颁发的证书,我们也知道还有许多其他的CA;中间人可以说服其他CA来给蓝色网站生成一张证书,这个攻击者就能用这张证书来模仿蓝色网站的身份,不幸的是蓝色网站没法阻止这件事,这就是CAA要保护的事。

  • CAA允许域名拥有者限制哪些CA可以给他们颁发证书(例如,蓝色网站只允许橙色CA给自己颁发证书,而红色CA不能颁发)
    • 通过DNS
      • DNS - Domain Name System,域名系统,通常用来将将域名转换为IP地址
        • 例如,practicalnetworking.net --->192.249.124.38
        • 也被称为“A”记录
      • 也有许多其他的DNS记录类型
        • 例如,MX是将域名映射到邮件服务器,TXT是将域名映射到TXT文件,域名拥有者可以添加任意TXT
      • 只有域名拥有者才能创建 DNS 记录

3、生效的方式

  • 使用带有3个指令的新DNS记录(CAA记录)
    • issue - 识别哪个CA可以给该域名颁发证书
    • issuewild - 识别哪个CA可以给该域名颁发通配符证书
    • iodef - 识别违规报告发往何处
      • iodef - Incident Object Description Exchange Format,事件对象描述交换格式,创建安全报告的标准格式;作用方式是,如果某些CA不在列表中,收到为site.com生成证书的请求,它们应该给“mailto: admin@site.com”发送违规报告。

4、注意点

  • CAA无法防范遭泄露或恶意的CA

5、我们可以访问该网址:Qualys SSL Labs - SSL Pulse ,被调查的134495个网站中,15.4%的站点支持CAA

参考文献

1、网站:Practical Networking.net:Practical TLS

EthanXone196
关注
TLS/SSL测试神器:testssl.sh安装使用说明
HowieXue 薛永浩的博客
04-02 3万+
TLS/SSL测试神器:testssl.sh 是一款好用的TLS/SSL命令行测试工具,且完全免费开源。 >testssl.sh可以对TLS/SSL Server端Cipher、Protocol进行检测,还可以进行CCS注入(CCS injection)、heartbleed等安全漏洞测试,功能全面丰富,可运行在Linux/BSD端,目前可以说是TLS Server端首选的测试工具。。
Bulletproof SSL and TLS(读书笔记
cteng的专栏
08-16 2788
Bulletproof SSL and TLS:Understanding and Deploying SSL TLS and PKI to Secure Servers and Web Applications 目录 1 SSLTLS和密码学2 协议3 PKI4 针对PKI的攻击5 HTTP和浏览器话题6 实现话题7 针对协议的攻击8 部
阿里云学习笔记
Haines
04-02 1631
弹性伸缩(Auto Scaling)是根据业务需求和策略自动调整计算能力(即实例数量)的服务。您可以指定实例的类型,即ECS实例或ECI实例。在业务需求增长时,弹性伸缩自动增加指定类型的实例,来保证计算能力;在业务需求下降时,弹性伸缩自动减少指定类型的实例,来节约成本。弹性伸缩不仅适合业务量不断波动的应用程序,同时也适合业务量稳定的应用程序。部署在伸缩组内ECS实例或ECI实例上的应用必须是无状态并且可横向扩展的。
【Web安全笔记】之【11.0 其他】
AA8j的博客
12-23 5453
文章目录11.0 其他11.1 代码审计11.1.1 简介11.1.2 常用概念1. 输入2. 处理函数3. 危险函数11.1.3 自动化审计1. 危险函数匹配2. 控制流分析3. 基于图的分析4. 代码相似性比对5. 灰盒分析11.1.4 手工审计流程1. 获取代码,确定版本,尝试初步分析2. 基于审计工具进行初步分析3. 了解程序运行流程1) 文件加载方式2) 数据库连接方式3) 视图渲染4) SESSION处理机制5) Cache处理机制4. 账户体系1) Auth方式2) Pre-Auth的情况下可
狂神 Docker学习笔记 从基础到进阶 一步到位
原名陌生的博客
04-01 4977
Docker 学习笔记 感谢狂神的分享。附上B站视频链接。 https://www.bilibili.com/video/BV1og4y1q7M4?from=search&seid=9225650362300658796&spm_id_from=333.337.0.0 目录 目录Docker 学习笔记目录Docker概述(1) 基本介绍(2) 应用场景(3) Docker 的优势(4)虚拟化技术和容器化技术Docker安装Docker的基本组成安装阿里云镜像加速Docker 运行流程图底层原
DNS学习笔记2--DNS记录
shutdown -s -t
06-28 988
整个 DNS 格式主要分为 3 部分内容,即基础结构部分、问题部分、资源记录部分。DNS 报文的基础结构部分指的是报文首部。 字段名称 内容描述 事务ID DNS 报文的 ID 标识。对于请求报文和其对应的应答报文,该字段的值是相同的。通过它可以区分 DNS 应答报文是对哪个请求进行响应的。 标志 DNS 报文中的标志字段 问题计数 DNS 查询请求的数目 回答资源记录...
给工程师:关于证书(certificate)和公钥基础设施(PKI)的一切
easylife206的专栏
04-30 4081
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !译者序本文翻译自 2018 年的一篇英文博客:Everything you should know about certificates and PKI but are too afraid to ask[1], 作者 MIKE MALONE。这篇长文并不是枯燥、零碎地介绍 PKI、X.50...
iOS开发学习笔记(一)
weixin_34396902的博客
05-24 45
一、必要条件 1、一台运行Snow Leopard(os x 10.6.5或者更高版本)的基于Intel的Macintosh计算机。 2、注册成为iOS开发人员,下载iOS SDK。 3、下载XCode集成开发环境。 二、开发者选择: 1、免费的SDK包含一个模拟器,它支持在mac上创建和运行iPhone和iPad程序。但是模拟器不支持依赖硬件的某些特性,如iPhone的加速计或者摄像头...
【信息安全原理】——Web应用安全学习笔记
ZL_1618的博客
02-19 1155
📖前言:Web是互联网上最为典型的应用模式,几乎涉及人们生活的各个方面,因此其安全问题备受关注。本章我们首先聚焦Web应用本身的安全问题,包括:Web应用体系的脆弱性分析,典型Web应用安全漏洞攻击(SQL注入、XSS、Cookie欺骗、CSRF、目录遍历、操作系统命令注入、HTTP消息头注入等)及其防范措施,然后简要介绍安全的HTTP协议HTTPS。![在这里插入图片描述](https://img-
.net中为 SSL/TLS 安全通道建立信任关系
09-14
.net 中为 SSL/TLS 安全通道建立信任关系 在 .NET 中,建立 SSL/TLS 安全通道时,需要建立信任关系,以确保数据的安全传输。在本文中,我们将讨论如何在 .NET 中建立 SSL/TLS 安全通道的信任关系,并解决常见的调试...
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
openssl+keepalived安装部署
小亦的博客
09-11 616
​ 在配置的时候报错:configure: error:!​ 考虑到后面设备可能没法连接到外网,所以采用安装包的方式进行部署,下载地址:https://www.openssl.org/source/old/1.1.1/index.html,当前选择的版本是openssl-1.1.1w。​ 同时检查/usr/local/ssl/目录下是不是都有bin、lib、include等目录,如果两者检查都输出正常,就说明openssl安装成功。​ 也可以检查是否生成了可执行文件,存在的话也说明安装成功。
Apple M3编译OpenSSL安卓平台SO库
09-13 345
添加ANDROID_NDK_ROOT环境变量,iosdev改为你自己的用户名。头文件安装位置:/usr/local/include/openssl。2.配置NDK环境变量:vim ~/.zprofile。5.安装: sudo make install。添加NDK下可执行文件路径到PATH环境变量。库文件安装位置:/usr/local/lib。进入openssl源码目录,执行下面指令。4.编译:输入make后回车。验证文件是否为arm平台的。
Openssl升级
beck_li的博客
09-13 515
root@localhost ~]# ./config --prefix=/usr/local/openssl // 指定安装路径。[root@localhost ~]# openssl version #查看升级后的版本。[root@localhost ~]# ldconfig -v // 建立动态链接。1、下载 openssl。3、替换当前系统的旧版本。
电脑浏览器访问华为路由器报错,无法访问路由器web界面:ERR_SSL_VERSION_OR_CIPHER_MISMATCH 最简单的解决办法!
weixin_62598385的博客
09-13 400
When accessing a Huawei router's web interface, you might encounter the error ERR_SSL_VERSION_OR_CIPHER_MISMATCH. The simplest solution is to install an older version of the browser. A warning icon in the browser's address bar usually indicates an insecur
SSL认证解说
最新发布
owolai的博客
09-13 465
SSL(Secure Sockets Layer)认证是一种广泛使用的安全技术,用于在互联网上提供数据加密和身份验证。SSL协议通过在客户端(如浏览器)和服务器之间建立一个加密通道来保护数据传输的安全性。SSL的最新版本是TLS(Transport Layer Security),但人们仍然习惯性地使用“SSL”这个词来指代这种安全技术。
使用 Nmap 进行 SSL/TLS 加密套件枚举
hello.reader
09-13 1069
在进行网络安全审计时,检查目标服务器的加密强度是非常重要的一环,尤其是确认服务器是否在使用弱加密套件。Nmap 提供了一个非常有用的脚本 `ssl-enum-ciphers`,用于检查目标服务器使用的 SSL/TLS 加密套件。这篇博客将介绍如何使用 `nmap` 命令来枚举目标服务器的 SSL/TLS 加密套件,并对命令的工作原理进行详细解释。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值