CAA检查成为强制 保护域名所有者免于误签发证书

证书颁发机构授权(CAA)是一种可选的安全措施,网站运营商可以使用这些措施来保护其域名免于错误发布。

它允许域所有者指定哪些证书颁发机构(CA)被允许为其网站颁发证书。CAA被配置为DNS记录。想要使用CAA的域所有者可以创建一个DNS记录,包含能为其颁发证书的CA列表。

CAB论坛在上月批准了一项提案,即,从2017年9月8日起,所有CA将被要求检查并遵守域的CAA记录

为什么要强制CAA检查?

任何一个CA都有能力影响整个互联网的安全。浏览器运送大约100个根证书,包括政府拥有的根证书和一些难以描述的区域性CA。

任何一个CA都可以给你的域名颁发证书,而在历史上,那些小且不知名的CA常常是黑客利用的对象,或者在没有正确验证的情况下发出证书。

虽然不少诸如证书透明度和名称约束等措施的存在也是为了限制这些根证书的权力,CAA为域名所有者提供了另一个防线。

目前,全球只有几百个使用CAA的网站。之所以用的人这么少,其原因有二:

  • 在这次提案投票通过前,CAA不是强制性的,因而也算不上真正的安全措施。
  • CAA有它自己的DNS记录类型,这就需要DNS提供商为其添加支持。

如今CAA检查成为强制,第一个障碍已被照顾。这将大大增加用户部署CAA的兴趣,并鼓励供应商支持CAA。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值