فحص سجل CAA العالمي
سجل CAA (ترخيص هيئة الشهادات) هو تعزيز أمني بالغ الأهمية تم تقديمه في RFC 6844 لتقوية البنية التحتية للمفاتيح العامة (PKI). يسمح سجل CAA لمسؤولي النطاق بتحديد صراحة هيئات الشهادات (مثل Let's Encrypt أو DigiCert أو Sectigo) المسموح لها قانوناً بإصدار شهادات SSL/TLS لبنيتهم التحتية. يعمل كدفاع محيطي (Perimeter defense) هجومي ضد هيئات الشهادات المارقة أو المخترقة التي تنشئ شهادات احتيالية وموثوقة لهجمات Man-in-the-Middle.
الفحوصات الإلزامية قبل الإصدار
منذ عام 2017، فرض منتدى CA/Browser أن تقوم كل هيئة شهادات تجارية (CA) بإجراء بحث DNS لسجلات CAA قبل إصدار أي شهادة. عندما يطلب عميل ACME آلي أو مسؤول شهادة، يستعلم الـ CA المنطقة. إذا لم يكن هناك سجل CAA، يفترض الـ CA الإذن الضمني ويصدر الشهادة. ومع ذلك، إذا كان سجل CAA موجوداً ولم يكن اسم المضيف لـ CA الطالب (مثل letsencrypt.org) مدرجاً صراحة في الـ Payload، يتم حظر عملية الإصدار بشدة ويتم إحباطها فوراً على مستوى الـ CA.
منطق Tree-Climbing ونطاق التطبيق
أحد الجوانب القوية لبنية CAA هو منطق التحليل "Tree-Climbing". إذا طلب مسؤول شهادة لنطاق فرعي متداخل بعمق (مثل api.staging.example.com)، فستستعلم هيئة الشهادات عن تلك العقدة (Node) الدقيقة للحصول على سجل CAA. إذا لم تعثر على واحد، فإنها تحلل صعوداً، لتتحقق من staging.example.com، وأخيراً الجذر example.com. هذا يعني أن سجل CAA واحداً يتم نشره في النطاق الجذري يعمل كسياسة أمنية شاملة، تتتالى تلقائياً إلى الأسفل وتحمي كل نطاق فرعي أسفله من الإصدار غير المصرح به.
تصحيح أخطاء فشل التجديد التلقائي
في حين تعمل سجلات CAA على تحسين الأمان بشكل كبير، إلا أنها السبب الرئيسي لإخفاقات SSL المفاجئة والصامتة في مسارات DevOps الحديثة. إذا تحولت شركة من شهادة Wildcard يدوية صادرة عن DigiCert إلى تجديدات Let's Encrypt الآلية عبر Kubernetes cert-manager، لكنها نسيت تحديث سجلات CAA المقيدة الخاصة بها، سيفشل روبوت التجديد. سيرجع الـ CA خطأ تفويض، وفي النهاية، ستنتهي صلاحية الشهادة الحية، مما يؤدي إلى ظهور تحذيرات المتصفح لجميع المستخدمين النهائيين. بالإضافة إلى ذلك، يمكن للمسؤولين تكوين علامة iodef ضمن الـ Payload الخاص بـ CAA، وتوجيه الـ CA لإرسال بريد إلكتروني آلي أو تنبيه webhook إلى فريق الأمان كلما حدثت محاولة إصدار محظورة.