Global CAA Record Checker
CAA (Certification Authority Authorization) রেকর্ড হলো একটি ক্রিটিক্যাল সিকিউরিটি এনহান্সমেন্ট যা পাবলিক কি ইনফ্রাস্ট্রাকচার (PKI) শক্তিশালী করতে RFC 6844-এ প্রবর্তন করা হয়েছিল। একটি CAA রেকর্ড ডোমেইন অ্যাডমিনিস্ট্রেটরদের স্পষ্টভাবে ডিফাইন করার অনুমতি দেয় যে ঠিক কোন Certificate Authorities (যেমন Let's Encrypt, DigiCert, বা Sectigo) আইনিভাবে তাদের ইনফ্রাস্ট্রাকচারের জন্য SSL/TLS সার্টিফিকেট ইস্যু করতে অ্যালাউড। এটি ম্যান-ইন-দ্য-মিডল (Man-in-the-Middle) অ্যাটাকের জন্য ফ্রডুলেন্ট, ট্রাস্টেড সার্টিফিকেট জেনারেট করা দুষ্ট বা আপোশকৃত (compromised) সার্টিফিকেট অথরিটির বিরুদ্ধে একটি এগ্রেসিভ পেরিমিটার ডিফেন্স (Perimeter defense) হিসেবে কাজ করে।
ইস্যু করার আগে বাধ্যতামূলক চেক
2017 সাল থেকে, CA/Browser ফোরাম ম্যান্ডেটরি করেছে যে প্রতিটি কমার্শিয়াল CA-কে কোনো সার্টিফিকেট ইস্যু করার আগে অবশ্যই CAA রেকর্ডের জন্য একটি DNS লুকআপ করতে হবে। যখন কোনো অটোমেটেড ACME ক্লায়েন্ট বা কোনো অ্যাডমিনিস্ট্রেটর একটি সার্টিফিকেটের রিকোয়েস্ট করে, তখন CA জোনটিতে কোয়েরি করে। যদি কোনো CAA রেকর্ড বিদ্যমান না থাকে, তবে CA ইমপ্লিসিট পারমিশন (implicit permission) ধরে নেয় এবং সার্টিফিকেটটি ইস্যু করে। তবে, যদি একটি CAA রেকর্ড উপস্থিত থাকে এবং রিকোয়েস্ট করা CA-এর হোস্টনেম (যেমন, letsencrypt.org) স্পষ্টভাবে পে-লোডে লিস্ট করা না থাকে, তবে ইস্যুয়েন্স প্রসেসটি হার্ড-ব্লক করা হয় এবং CA লেভেলে তাৎক্ষণিকভাবে বাতিল (abort) করা হয়।
Tree-Climbing এবং অ্যাপ্লিকেশন স্কোপ
CAA আর্কিটেকচারের একটি শক্তিশালী দিক হলো এর "ট্রি-ক্লাইম্বিং (tree-climbing)" পার্সিং লজিক। কোনো অ্যাডমিনিস্ট্রেটর যদি একটি ডিপলি নেস্টেড সাবডোমেইনের (যেমন, api.staging.example.com) জন্য সার্টিফিকেটের রিকোয়েস্ট করে, তবে সার্টিফিকেট অথরিটি একটি CAA রেকর্ডের জন্য ঐ নির্দিষ্ট নোডে কোয়েরি করবে। যদি এটি কোনোটি খুঁজে না পায়, তবে এটি উপরের দিকে পার্স করে, staging.example.com চেক করে এবং সবশেষে অ্যাপেক্স (apex) example.com চেক করে। এর অর্থ হলো রুট ডোমেইনে ডিপ্লয় করা একটি সিঙ্গেল CAA রেকর্ড একটি ব্ল্যাঙ্কেট সিকিউরিটি পলিসি হিসেবে কাজ করে, যা অটোমেটিক্যালি নিচের দিকে ক্যাসকেডিং (cascading) করে এবং এর নিচের প্রতিটি সাবডোমেইনকে আনঅথরাইজড ইস্যুয়েন্স থেকে রক্ষা করে।
অটোমেটেড রিনিউয়াল ফেইলর ডিবাগ করা
যদিও CAA রেকর্ড সিকিউরিটি ব্যাপকভাবে উন্নত করে, তবে আধুনিক DevOps পাইপলাইনগুলোতে সাডেন, সাইলেন্ট SSL ফেইলরের এটিই প্রধান কারণ। কোনো কোম্পানি যদি DigiCert দ্বারা ইস্যু করা ম্যানুয়াল ওয়াইল্ডকার্ড (Wildcard) সার্টিফিকেট থেকে Kubernetes cert-manager এর মাধ্যমে অটোমেটেড Let's Encrypt রিনিউয়ালে (renewals) সুইচ করে, কিন্তু তাদের রেস্ট্রিক্টিভ CAA রেকর্ড আপডেট করতে ভুলে যায়, তবে রিনিউয়াল বটটি ফেইল করবে। CA একটি অথরাইজেশন এরর রিটার্ন করবে, এবং অবশেষে, লাইভ সার্টিফিকেটটির মেয়াদ শেষ হয়ে যাবে, যা সমস্ত এন্ড-ইউজারদের জন্য ব্রাউজার ওয়ার্নিং ট্রিগার করবে। এছাড়া, অ্যাডমিনিস্ট্রেটররা CAA পে-লোডের মধ্যে একটি iodef ট্যাগ কনফিগার করতে পারেন, যা ব্লকড ইস্যুয়েন্স অ্যাটেম্পট ঘটলেই সিকিউরিটি টিমের কাছে একটি অটোমেটেড ইমেইল বা ওয়েবহুক অ্যালার্ট ডিসপ্যাচ করার জন্য CA-কে নির্দেশ দেয়।