DNS-запись CAA. Зачем нужна и как использовать?30.08.2017 13:48

Комментарии 13

  • 840ba6c408fa2c0f892800b4977f58f1_small.g

    30.08.17 в 12:25

    +1

    Это работает только с DNSSEC?

    • 9eec9e29a03406c063ba679cb02f1226_small.j

      30.08.17 в 12:29

      0

      Можно использовать и без DNSSEC. В RFC 6844 он носит рекомендательный характер.

    • bb394e47702cebe481b054b2b2509d14_small.p

      30.08.17 в 12:32

      0

      Эта запись нужна центру сертификации для проверки того, что он (центр сертификатов) имеет права выпустить сертификат. К DNSSEC, это, кажется, вообще не имеет никакого отношения.

  • 30.08.17 в 12:36

    +1

    Как будут реагировать браузеры если у сайта нет САА?

    • bb394e47702cebe481b054b2b2509d14_small.p

      30.08.17 в 12:37

      0

      На момент моих изысканий на этот счёт, я не нашёл какой либо причины браузеру проверять эти записи. Ну то есть, эта запись нужна только УЦ и только в МОМЕНТ выпуска серта.

      Браузер может её проверить, но в RFC не говорится, что ему делать в том случае если запись не нашлась, а серт валидный.

      • 9eec9e29a03406c063ba679cb02f1226_small.j

        30.08.17 в 12:43

        0

        Эта запись только для центра сертификации. Браузер не взаимодействует с ней.

        • bb394e47702cebe481b054b2b2509d14_small.p

          30.08.17 в 12:44

          0

          Кажется, я написал тоже самое =)

  • bb394e47702cebe481b054b2b2509d14_small.p

    30.08.17 в 12:36

    0

    Ну и сошлю на свою заметку на этот счёт, мало ли мой формат изложения кому-то зайдёт. telegra.ph/CHto-takoe-DNS-Certification-Authority-Authorization-08–10

  • 3476328c9ede701ccc8f024d5344fbd0_small.j

    30.08.17 в 12:48

    +1

    Будут ли отозваны сертификаты, если центр сертификации пропадет из правил в CAA?

    • 9eec9e29a03406c063ba679cb02f1226_small.j

      30.08.17 в 12:49

      0

      Нет, CAA-запись нужна и проверяется только в момент выдачи сертификата.

  • 30.08.17 в 13:40

    0

    Каждый центр сертификации, начиная с 8 сентября 2017 года будет обязан строго следовать инструкциям, указанным в CAA-записях доменного имени или субдомена для которого запрашивается выпуск сертификата.

    Вовсе не каждый. Просто ассоциация крупнейших УЦ договорилась, что ее члены в обязательном порядке будут следовать стандарту, описанному в RFC 6844. Указанный RFC имеет статус Proposed standard, обязательным не является, и это решение не имеет никакой силы для УЦ, не входящих в эту ассоциацию.

  • 23399a809d83c2b172fc52e8be77343c_small.p

    30.08.17 в 13:43

    0

    Есть информация, как это будет работать с Let’s Encrypt?
    Возможно, уже есть готовые примеры записей, разрешающие выпуск этих сертификатов для своих доменов?

    • 840ba6c408fa2c0f892800b4977f58f1_small.g

      30.08.17 в 13:45

      0

      Да, вот тоже интересует вопрос, как это работает с системами автоматический выдачи ACME, как, например, у Let’s Encrypt? Там ведь проверка через TXT

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

© Habrahabr.ru