Pull to refresh

Comments 27

Можно использовать и без DNSSEC. В RFC 6844 он носит рекомендательный характер.
Эта запись нужна центру сертификации для проверки того, что он (центр сертификатов) имеет права выпустить сертификат. К DNSSEC, это, кажется, вообще не имеет никакого отношения.
Как будут реагировать браузеры если у сайта нет САА?
На момент моих изысканий на этот счёт, я не нашёл какой либо причины браузеру проверять эти записи. Ну то есть, эта запись нужна только УЦ и только в МОМЕНТ выпуска серта.

Браузер может её проверить, но в RFC не говорится, что ему делать в том случае если запись не нашлась, а серт валидный.
Эта запись только для центра сертификации. Браузер не взаимодействует с ней.
а какой в этом смысл? если кто-то захочет выпустить сертификат для домена, то он его выпустит не глядя на caa.
по-моему как раз браузер должен сравнивать — кто должен был выпустить и кто реально выпустил и при несовпадении считать сертификат невалидным.
А как вы его выпустите без участия центра сертификации?
Основная идея как раз в том, чтобы в итоге все центры сертификации проверяли САА в дополнении к существующим способам проверки (почта, веб-сайт, документы).
если кто-то захочет выпустить сертификат для домена, то он его выпустит не глядя на caa.

Это механизм проверки для добросовестных УЦ, а не для злонамеренных.


по-моему как раз браузер должен сравнивать

Для браузеров предназначен другой тип записей — TLSA.

Ну так не прокати уже фраза: мы не знали
за выдачу сертификата неавторизированным цс будет моментальный бан, а шутить после симантека и востгна вряд ли найдутся желающие

Вообще, DANE предназначен для верификации клиентским софтом. Если говорить о браузерах, то ни один из них его не поддерживает. Да и вообще с поддержкой DANE очень плохо.

Поправка. Нужна Вам и не только в момент легитимного выпуска сертификата. А для того чтобы злодеи не выпустили через другой CA левый сертификат.
если СА позволяет злодеям выпускать сертификат для чужого домена, то кто гарантирует, что он будет смотреть на какие-то записи в днс?
разве смысл существования СА не в том, чтобы проверить является ли проситель сертификата владельцем сертифицируемого ресурса?

Браузеру это не важно.
CAA только для выдачи сертификата.
Думаю в будущем расширят, и браузеры будут палить левые сертификаты.

Будут ли отозваны сертификаты, если центр сертификации пропадет из правил в CAA?
Нет, CAA-запись нужна и проверяется только в момент выдачи сертификата.
Каждый центр сертификации, начиная с 8 сентября 2017 года будет обязан строго следовать инструкциям, указанным в CAA-записях доменного имени или субдомена для которого запрашивается выпуск сертификата.

Вовсе не каждый. Просто ассоциация крупнейших УЦ договорилась, что ее члены в обязательном порядке будут следовать стандарту, описанному в RFC 6844. Указанный RFC имеет статус Proposed standard, обязательным не является, и это решение не имеет никакой силы для УЦ, не входящих в эту ассоциацию.

Да, вы правы, внес корректировки в статью. Спсб.
Есть информация, как это будет работать с Let's Encrypt?
Возможно, уже есть готовые примеры записей, разрешающие выпуск этих сертификатов для своих доменов?
Да, вот тоже интересует вопрос, как это работает с системами автоматический выдачи ACME, как, например, у Let's Encrypt? Там ведь проверка через TXT
Да, никакого противоречия нет, они будут сначала проверять наличие CAA-записей, а потом приступать к процедуре выдачи по ACME, если центру не разрешено выдать сертификат, он сообщит ошибкой urn:ietf:params:acme:error:caa

А как будет это работать в случае отсутствие CAA записей? Так же, как и прежде?

Cloudflare заявляет о поддержке, но при попытке добавить уже месяц выдает такое сообщение
CAA records are currently in beta. Please open a support ticket to request access to the beta. (Code: 1039)
Sign up to leave a comment.

Articles