forum.opennet.ru

Составление сообщения

Исходное сообщение

"Раздел полезных советов: Использование CAA записей в DNS для..."
Отправлено auto_tips, 10-Сен-17 17:18

Начиная с сентября 2017 года удостоверяющим центрам предписано обязательно проверять CAA-записи в DNS перед генерацией сертификата. CAA ([[https://tools.ietf.org/html/rfc6844 RFC-6844]], Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, который имеет полномочия для генерации сертификатов для указанного домена. При наличии CAA-записи все остальные удостоверяющие центры обязаны блокировать выдачу сертификатов от своего имени для данного домена и информировать его владельца о попытках компрометации.
Например, добавление в зону домена example.com записей (для BIND 9.9.6 и более новых выпусков):
   $ORIGIN example.com
   .       CAA 0 issue "letsencrypt.org"
   .       CAA 0 iodef "mailto:security@example.com"
или
   .       CAA 0 iodef "http://iodef.example.com/"

указывает на то, что сертификаты для example.com  генерируются только удостоверяющим центром  Let's Encrypt ([[https://letsencrypt.org/docs/caa/ осуществляется]] проверка владельца домена "letsencrypt.org"). В поле iodef задаётся метод оповещения о попытке генерации сертификата. Поддерживается отправка уведомления на email или информирование через запрос к web-сервису ([[https://tools.ietf.org/html/rfc6546 RFC-6546]]).
При желании можно уточнить учётную запись под которой разрешено генерировать сертификаты:
   .       CAA 0 issue "letsencrypt.org; account=12345"
Кроме  issue также поддерживается поле issuewild, через которое задаются дополнительные ограничения выдачи сертификатов с маской, охватывающей группу хостов.
Допустимо указание нескольких записей issue, при использовании сертификатов от нескольких удостоверяющих центров:
  example.com.       CAA 0 issue "symantec.com"
  example.com.       CAA 0 issue "pki.goog"
  example.com.       CAA 0 issue "digicert.com"
Проверить корректность создания записей CAA можно командой:
   dig +short +noshort example.com CAA
Также доступен [[https://sslmate.com/caa/ web-интерфейс]] для автоматической генерации конфигураций.

URL:
Обсуждается: http://www.opennet.ru/tips/info/3028.shtml

Исходное сообщение
"Раздел полезных советов: Использование CAA записей в DNS для..." Отправлено auto_tips, 10-Сен-17 17:18
Начиная с сентября 2017 года удостоверяющим центрам предписано обязательно проверять CAA-записи в DNS перед генерацией сертификата. CAA ([[https://tools.ietf.org/html/rfc6844 RFC-6844]], Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, который имеет полномочия для генерации сертификатов для указанного домена. При наличии CAA-записи все остальные удостоверяющие центры обязаны блокировать выдачу сертификатов от своего имени для данного домена и информировать его владельца о попытках компрометации. Например, добавление в зону домена example.com записей (для BIND 9.9.6 и более новых выпусков): $ORIGIN example.com . CAA 0 issue "letsencrypt.org" . CAA 0 iodef "mailto:security@example.com" или . CAA 0 iodef "http://iodef.example.com/" указывает на то, что сертификаты для example.com генерируются только удостоверяющим центром Let's Encrypt ([[https://letsencrypt.org/docs/caa/ осуществляется]] проверка владельца домена "letsencrypt.org"). В поле iodef задаётся метод оповещения о попытке генерации сертификата. Поддерживается отправка уведомления на email или информирование через запрос к web-сервису ([[https://tools.ietf.org/html/rfc6546 RFC-6546]]). При желании можно уточнить учётную запись под которой разрешено генерировать сертификаты: . CAA 0 issue "letsencrypt.org; account=12345" Кроме issue также поддерживается поле issuewild, через которое задаются дополнительные ограничения выдачи сертификатов с маской, охватывающей группу хостов. Допустимо указание нескольких записей issue, при использовании сертификатов от нескольких удостоверяющих центров: example.com. CAA 0 issue "symantec.com" example.com. CAA 0 issue "pki.goog" example.com. CAA 0 issue "digicert.com" Проверить корректность создания записей CAA можно командой: dig +short +noshort example.com CAA Также доступен [[https://sslmate.com/caa/ web-интерфейс]] для автоматической генерации конфигураций. URL: Обсуждается: http://www.opennet.ru/tips/info/3028.shtml

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Начиная с сентября 2017 года удостоверяющим центрам предписано обязательно проверять CAA-записи 
> в DNS перед генерацией сертификата. CAA ([[https://tools.ietf.org/html/rfc6844 RFC-6844]], 
> Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий 
> центр, который имеет полномочия для генерации сертификатов для указанного домена. При 
> наличии CAA-записи все остальные удостоверяющие центры обязаны блокировать выдачу сертификатов 
> от своего имени для данного домена и информировать его владельца о 
> попытках компрометации.

> Например, добавление в зону домена example.com записей (для BIND 9.9.6 и более 
> новых выпусков):

>    $ORIGIN example.com 
>    .       CAA 0 
> issue "letsencrypt.org" 
>    .       CAA 0 
> iodef "mailto:security@example.com" 
> или 
>    .       CAA 0 
> iodef "http://iodef.example.com/"

> указывает на то, что сертификаты для example.com  генерируются только удостоверяющим центром 
>  Let's Encrypt ([[https://letsencrypt.org/docs/caa/ осуществляется]] проверка владельца 
> домена "letsencrypt.org"). В поле iodef задаётся метод оповещения о попытке генерации 
> сертификата. Поддерживается отправка уведомления на email или информирование через запрос 
> к web-сервису ([[https://tools.ietf.org/html/rfc6546 RFC-6546]]).

> При желании можно уточнить учётную запись под которой разрешено генерировать сертификаты:

>    .       CAA 0 
> issue "letsencrypt.org; account=12345"

> Кроме  issue также поддерживается поле issuewild, через которое задаются дополнительные 
> ограничения выдачи сертификатов с маской, охватывающей группу хостов.

> Допустимо указание нескольких записей issue, при использовании сертификатов от нескольких 
> удостоверяющих центров:

>   example.com.       CAA 0 issue 
> "symantec.com" 
>   example.com.       CAA 0 issue 
> "pki.goog" 
>   example.com.       CAA 0 issue 
> "digicert.com"

> Проверить корректность создания записей CAA можно командой:

>    dig +short +noshort example.com CAA

> Также доступен [[https://sslmate.com/caa/ web-интерфейс]] для автоматической генерации 
> конфигураций.

> URL: 
> Обсуждается: http://www.opennet.ru/tips/info/3028.shtml

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру