فحص سجل CAA العالمي
سجل CAA (Certificate Authority Authorization) هو تحسين أمني حرج تم إصداره في RFC 6844 عشان يقوي البنية التحتية للمفاتيح العامة (PKI). سجل CAA بيسمح لمديري الدومين يحددوا بوضوح أنهي Certificate Authorities (زي Let's Encrypt أو DigiCert أو Sectigo) المسموح ليهم قانوناً بإصدار شهادات SSL/TLS للبنية التحتية بتاعتهم. ده بيشتغل كخط دفاع هجومي قوي ضد جهات إصدار الشهادات المخترقة أو المزيفة اللي ممكن تطلع شهادات مزيفة وموثوقة لهجمات الـ Man-in-the-Middle.
الفحوصات الإلزامية قبل الإصدار
من 2017، منتدى CA/Browser فرض على كل جهة إصدار شهادات (CA) تجارية إنها تعمل DNS Lookup لسجلات CAA قبل ما تصدر أي شهادة. لما أي Automated ACME Client أو Admin يطلب شهادة، الـ CA بتستعلم من الـ Zone. لو ملقيتش سجل CAA، الـ CA بتفترض إن فيه تصريح ضمني وبتصدر الشهادة. لكن، لو لقت سجل CAA واسم الـ Hostname بتاع الـ CA اللي طالبة الشهادة (زي letsencrypt.org) مش مكتوب صراحة في الـ Payload، عملية الإصدار بتتبلك فوراً وبتتلغي من عند الـ CA.
الـ Tree-Climbing ونطاق التطبيق
من النقط القوية في معمارية CAA هي منطق قراءة البيانات المعروف بـ "Tree-Climbing" (تسلق الشجرة). لو الـ Admin طلب شهادة لـ Subdomain متفرع بعمق (زي api.staging.example.com)، جهة الإصدار هتدور في الـ Node ده بالظبط على سجل CAA. لو ملقتش، هتطلع للمستوى الأعلى، وتتأكد من staging.example.com، وفي النهاية تدور في الدومين الرئيسي example.com. ده معناه إن سجل CAA واحد بس موجود على الـ Root Domain بيشتغل كسياسة حماية شاملة، وبتطبق أوتوماتيك على كل الـ Subdomains اللي تحته وتحميها من أي إصدار شهادات غير مصرح بيه.
تصحيح أخطاء فشل التجديد التلقائي (Automated Renewal)
رغم إن سجلات CAA بتحسن الأمان بشكل كبير، إلا إنها السبب الرئيسي للأعطال المفاجئة والصامتة في شهادات الـ SSL جوه مسارات (Pipelines) الـ DevOps الحديثة. لو في شركة نقلت من شهادة Wildcard يدوية صادرة من DigiCert لتجديد أوتوماتيكي من Let's Encrypt عبر Kubernetes cert-manager، بس نسيت تحدث سجلات CAA المقيدة بتاعتها، الـ Bot بتاع التجديد هيفشل. الـ CA هترجع Authorization Error، وفي النهاية الشهادة الحالية هتنتهي صلاحيتها وتعمل إنذارات في المتصفح لكل المستخدمين. بالإضافة لكده، الـ Admins يقدروا يحطوا تاج iodef جوه الـ CAA Payload، وده بيدي أمر للـ CA إنها تبعت إيميل أوتوماتيك أو Webhook Alert لفريق الأمان أول ما يحصل أي محاولة إصدار شهادة تترفض.