您现在所在位置:主页 > 网络安全资讯 >

高防cdn_云防御服务器_超稳定

更新时间:2021-06-12

高防cdn_云防御服务器_超稳定

今年早些时候,通过了新的行业标准,规定所有证书颁发机构都必须进行证书颁发机构授权(CAA)记录检查。这为网站管理员提供了一个额外的工具,用于保护他们的站点不受错误发布的影响,以及一个用于实施组织的证书策略的技术措施。计算机辅助分析概论通过设置CAA记录,您可以控制允许哪些CA为您的网站颁发证书。这解决了Web PKI系统的一个关键问题,即任何单个CA都可能被用来危害任何网站。通常,一个站点只使用少数CA,因此不必允许世界上的每个CA(在许多平台上,大约有100个可信CA)为您的站点颁发证书。当CA收到证书请求时,他们必须在验证或颁发证书之前首先查询该网站的CAA记录。CAA记录是一种新类型的DNS记录,网站可以选择配置这些附加保护。2017年9月,新的行业法规要求所有认证机构在颁发证书之前必须检查CAA记录。CAA部署今年有了显著增长。sslpulse分析了全球最大站点的SSL配置,阿里ddos防御价格,报告称,自2017年9月以来,使用CAA的站点数量翻了一番,15m宽带能防御ddos吗,今年增加了10倍多。即使以这样的速度增长,只有几千个网站在使用CAA,而且它仍然是一种利基安全机制。关于CAA的一个常见误解是网站被迫使用它。这源于对CAA核心机制的困惑。默认情况下,没有CAA记录的网站对CA向其颁发证书没有限制。CAA记录允许您通过白名单限制已批准证书颁发机构的列表。对于那些对CAA不感兴趣的网站,他们不必做任何更改。只要不创建一个CAA记录,每个CA都可以为您的域颁发证书。政策执行CAA不仅仅是一种安全机制。除了通过限制有权为您的域颁发的ca来最小化风险外,100g高防cdn作用,CAA还是一个用于强制执行与证书相关的公司策略的有用工具。许多组织都在努力确保与购买、请求和部署证书相关的公司策略得到遵守。在拥有多个办公室或半自治部门的大型组织中尤其如此。CAA可以作为一种技术措施来执行您的证书策略。例如:假设某个工程部门的人在你的域上建立了一个新的服务。如果他们试图申请证书,他们将被限制使用您未批准的CA。您可以选择配置一个报告URL或电子邮件地址,以便在CAs收到不允许发出的请求时接收来自CAs的通知。部署CAACAA是一种新的安全机制,可用于加强网站的SSL配置和证书策略。考虑到大多数管理员从未部署过CAA,我们对这个过程进行了简短的总结。CAA是一种非常容易使用的机制,与严格传输安全(HSTS)或密钥锁定(HPKP)等其他机制相比,CAA具有更小的配置或操作错误风险。使用CAA有一个技术先决条件。如果您使用托管DNS,您的提供商需要添加对CAA的支持,因为它是一个新的DNS资源记录。许多主要提供商,包括Cloudflare、Dyn和Route 53都支持CAA。sslmate在这里维护主要提供者及其支持的列表。以下是规划CAA部署的指导原则,以及其部署如何为您的网站安全和组织策略带来好处的概述:以组织的证书策略为起点。如果您已批准某些CA作为提供商,请使用这些来创建将输入CAA的CA列表记录。如果您的组织中还没有证书策略,至少您需要确定组织通常使用哪些CA。如果您需要更改授权CA的列表,您可以随时更新(或删除)您的CAA记录,这些更改将根据您的DNS TTL生效。创建CAA DNS记录。您的策略可以限制为仅限于组织使用的一个或少数CA,或者更灵活地允许您的组织使用大量流行的提供程序。即使你的CAA政策允许10个CA,这仍然是一个重要的还原。这里是CAA记录的一个示例,该记录只允许DigiCert为网站颁发证书:yourdomain.com网站.CAA 0问题"digicert.com网站"此记录将应用于域下的所有子域。如果您想允许额外的CA,安徽抗ddos天网防御,那么将为每个CA创建一行新行。末尾列出的主机名标识CA,每个CA明确选择该CA。该主机名可能与CA的主页不同,因此请确保查看CA的文档以了解正确的语法。SSLMate提供了一个免费的CAA记录生成器工具来简化这个过程。请注意,您可以为子域设置不同的CAA记录以获得更大的灵活性。从请求的最高标签开始,在DNS树中按层次检查CAA记录。例如,如果您为sub.domain.com网站,"CA首先检查子域的记录,如果子域级别不存在记录,则检查根域。对于CNAME,将最后检查父域。对于所有将来的证书请求,您的域的CAA记录将被检查,并且除了DigiCert(在本例中)之外的任何CA都必须拒绝颁发任何证书。As2017年9月8日,CA/B论坛要求所有CA遵守CAA记录。这适用于所有受信任的ca,包括由云服务提供商免费提供的证书。不遵守您的记录将构成证书的错误颁发,这可能导致CA受到制裁或不信任。你的域名现在是在降低风险的错误发行。在对抗性场景中,潜在的黑客将被限制在您的CAA记录中指定的CA,从而减少攻击表面。取决于关于您的CA如何实现帐户控制,怎么建立高防cdn,这可能使攻击者无法接收您站点的证书,即使他们危害了您的web服务器。例如,如果您的CAA策略只允许DigiCert为您的站点颁发证书,则攻击者将无法完成OV/EV验证流程。员工或者未经授权的用户也会受到类似的限制,这减少了对组织证书策略的违反。将来,CAA可以扩展到允许更细粒度的控制,比如限制验证类型。在特定CA的验证或发布过程中存在漏洞的情况下,您的域受影响的可能性会降低。如果CAA在2016年得到部署和实施,那么Web PKI生态系统中许多最高优先级的mis发布可能已经被阻止。CAA确实有局限性。如果一个CA是恶意的,或者是因为他们已经"流氓"或者被攻击者攻破了,他们可以简单地忽略你的CAA记录所说的,并以任何方式颁发证书。如果域名系统被破坏,个别网站也面临风险。可以更改DNS设置的攻击者可以删除您的CAA记录,这将允许您的站点再次发出所有CA。这也可以通过DNS记录欺骗来实现,尽管只有非常强大的攻击者才有这种能力。最后一点:CAA只处理可信CA的证书颁发。它不打算处理本地根证书在设备(如企业内部网)上受信任的情况。这些根仍然可以免费为您的域颁发证书,因为它们不受根程序的管理。这可以用来拦截或监视本地网络上的网站流量。  CAA的安全优势上次修改时间:2018年2月22日,由Vincent Lynch修改