گلوبل CAA ریکارڈ چیکر
CAA (Certification Authority Authorization) ریکارڈ ایک اہم سیکیورٹی اضافہ ہے جسے RFC 6844 میں Public Key Infrastructure (PKI) کو مضبوط کرنے کے لیے متعارف کرایا گیا تھا۔ ایک CAA ریکارڈ ڈومین کے منتظمین کو واضح طور پر اس بات کی وضاحت کرنے کی اجازت دیتا ہے کہ کون سی سرٹیفکیٹ اتھارٹیز (جیسے Let's Encrypt، DigiCert، یا Sectigo) کو ان کے بنیادی ڈھانچے کے لیے SSL/TLS سرٹیفکیٹس جاری کرنے کی قانونی طور پر اجازت ہے۔ یہ من-اِن-دی-مڈل (man-in-the-middle) حملوں کے لیے دھوکہ دہی پر مبنی، قابل اعتماد سرٹیفکیٹس بنانے والی بدمعاش (rogue) یا سمجھوتہ شدہ سرٹیفکیٹ اتھارٹیز کے خلاف ایک جارحانہ فریم ورک ڈیفنس (perimeter defense) کے طور پر کام کرتا ہے۔
جاری کرنے سے پہلے لازمی جانچ
2017 کے بعد سے، CA/Browser Forum نے لازمی قرار دیا ہے کہ ہر کمرشل CA کو کوئی بھی سرٹیفکیٹ جاری کرنے سے پہلے CAA ریکارڈز کے لیے DNS لک اپ انجام دینا چاہیے۔ جب کوئی خودکار ACME کلائنٹ یا منتظم سرٹیفکیٹ کی درخواست کرتا ہے، تو CA زون سے کیوری (query) کرتا ہے۔ اگر کوئی CAA ریکارڈ موجود نہیں ہے، تو CA ظاہری اجازت فرض کر لیتا ہے اور سرٹیفکیٹ جاری کر دیتا ہے۔ تاہم، اگر CAA ریکارڈ موجود ہے اور درخواست کرنے والے CA کا ہوسٹ نام (مثلاً، letsencrypt.org) پے لوڈ (Payload) میں واضح طور پر درج نہیں ہے، تو جاری کرنے کے عمل کو سختی سے بلاک کر دیا جاتا ہے اور CA کی سطح پر فوری طور پر منسوخ کر دیا جاتا ہے۔
Tree-Climbing اور درخواست کا دائرہ کار
CAA آرکیٹیکچر کا ایک طاقتور پہلو اس کی "ٹری-کلائمبنگ" (tree-climbing) پارسنگ منطق ہے۔ اگر کوئی منتظم گہرائی سے جڑے ذیلی ڈومین (مثال کے طور پر، api.staging.example.com) کے لیے سرٹیفکیٹ کی درخواست کرتا ہے، تو سرٹیفکیٹ اتھارٹی CAA ریکارڈ کے لیے اس عین مطابق نوڈ کو کیوری کرے گی۔ اگر اسے کوئی نہیں ملتا ہے، تو یہ اوپر کی طرف پارس کرتا ہے، staging.example.com کو چیک کرتا ہے، اور آخر میں اپیکس (apex) example.com کو چیک کرتا ہے۔ اس کا مطلب ہے کہ روٹ ڈومین پر لگایا گیا ایک واحد CAA ریکارڈ ایک کمبل (blanket) حفاظتی پالیسی کے طور پر کام کرتا ہے، جو خود بخود نیچے کی طرف جھک جاتا ہے اور اس کے نیچے موجود ہر ذیلی ڈومین کو غیر مجاز اجراء سے بچاتا ہے۔
خودکار تجدید کی ناکامیوں کو ڈیبگ کرنا (Debugging)
اگرچہ CAA ریکارڈز سیکیورٹی کو ڈرامائی طور پر بہتر بناتے ہیں، لیکن یہ جدید DevOps پائپ لائنوں میں اچانک، خاموش SSL ناکامیوں کی سب سے بڑی وجہ ہیں۔ اگر کوئی کمپنی DigiCert کے جاری کردہ دستی وائلڈ کارڈ سرٹیفکیٹ سے Kubernetes cert-manager کے ذریعے خودکار Let's Encrypt کی تجدید کی طرف منتقل ہوتی ہے، لیکن اپنے پابندی والے CAA ریکارڈز کو اپ ڈیٹ کرنا بھول جاتی ہے، تو تجدید کرنے والا بوٹ ناکام ہو جائے گا۔ CA ایک اجازت کی خرابی واپس کرے گا، اور آخر کار، لائیو سرٹیفکیٹ کی میعاد ختم ہو جائے گی، جس سے تمام آخری صارفین کے لیے براؤزر وارننگز متحرک ہو جائیں گی۔ مزید برآں، منتظمین CAA پے لوڈ کے اندر ایک iodef ٹیگ کنفیگر کر سکتے ہیں، جو CA کو ہدایت دیتا ہے کہ جب بھی کوئی مسدود اجراء کی کوشش ہو تو سیکیورٹی ٹیم کو خودکار ای میل یا ویب ہک الرٹ بھیجے۔