Globalny weryfikator rekordu CAA
Rekord CAA (Certification Authority Authorization) to krytyczne rozszerzenie bezpieczeństwa wprowadzone w RFC 6844 w celu wzmocnienia infrastruktury klucza publicznego (PKI). Rekord CAA pozwala administratorom domeny na jawne zdefiniowanie, które urzędy certyfikacji (takie jak Let's Encrypt, DigiCert lub Sectigo) są prawnie upoważnione do wydawania certyfikatów SSL/TLS dla ich infrastruktury. Działa to jako agresywna ochrona obwodowa przed nieuczciwymi lub naruszonymi urzędami certyfikacji generującymi fałszywe, ale rzekomo zaufane certyfikaty do ataków typu man-in-the-middle.
Obowiązkowe weryfikacje przed wydaniem
Od 2017 r. organizacja CA/Browser Forum nałożyła obowiązek, aby każdy komercyjny urząd certyfikacji (CA) wykonał wyszukiwanie w systemie DNS rekordów CAA przed wydaniem jakiegokolwiek certyfikatu. Gdy zautomatyzowany klient ACME lub administrator żąda certyfikatu, CA wysyła zapytanie do strefy. Jeśli nie istnieje żaden rekord CAA, urząd certyfikacji przyjmuje milczące pozwolenie i wystawia certyfikat. Jeśli jednak rekord CAA jest obecny, a nazwa hosta żądającego CA (np. letsencrypt.org) nie jest wyraźnie wymieniona w Payloadzie, proces wydawania certyfikatu jest twardo blokowany i natychmiast przerywany na poziomie CA.
Tree-Climbing i zakres stosowania
Potężnym aspektem architektury CAA jest jej logika parsowania typu "tree-climbing". Jeśli administrator zażąda certyfikatu dla głęboko zagnieżdżonej subdomeny (np. api.staging.example.com), urząd certyfikacji wyśle zapytanie o rekord CAA do tego konkretnego węzła. Jeśli go nie znajdzie, przeanalizuje węzły w górę hierarchii, sprawdzając staging.example.com, i wreszcie główną domenę apex example.com. Oznacza to, że pojedynczy rekord CAA wdrożony w domenie głównej działa jak kompleksowa polityka bezpieczeństwa, automatycznie kaskadując w dół i chroniąc każdą znajdującą się pod nią subdomenę przed nieautoryzowanym wydaniem certyfikatu.
Debugowanie błędów automatycznego odnawiania
Chociaż rekordy CAA radykalnie poprawiają bezpieczeństwo, są wiodącą przyczyną nagłych, po cichu przebiegających awarii SSL w nowoczesnych procesach DevOps (pipelines). Jeśli firma przejdzie z ręcznego certyfikatu Wildcard wydanego przez DigiCert na zautomatyzowane odnawianie Let's Encrypt za pośrednictwem rozwiązania cert-manager dla klastrów Kubernetes, ale zapomni zaktualizować swoje restrykcyjne rekordy CAA, zadanie (bot) odnawiania zakończy się niepowodzeniem. CA zwróci błąd autoryzacji, a aktywny certyfikat w końcu wygaśnie, wyzwalając ostrzeżenia przeglądarki dla wszystkich użytkowników końcowych. Ponadto administratorzy mogą skonfigurować tag iodef wewnątrz Payloadu rekordu CAA, instruując urząd certyfikacji do wysyłania automatycznej wiadomości e-mail lub alertu webhook do zespołu ds. bezpieczeństwa za każdym razem, gdy wystąpi zablokowana próba wydania certyfikatu.