مرجع صدور گواهینامه DNS

مرجع صدور گواهینامه DNS
وضعیت	Proposed Standard
انتشار اولیه	۱۸ اکتبر ۲۰۱۰
آخرین ویرایش	RFC 8659; November 2019
سازمان	IETF
مولفان	Phillip Hallam-Baker; Rob Stradling;
کوته‌نوشت	CAA

(DNS Certification Authority Authorization (ACC یک مکانیزم سیاست امنیت اینترنت است که به دارندگان نام دامنه اجازه می دهد تا به مراجع صدور گواهینامه نشان دهند که آیا آنها مجاز به صدور گواهی دیجیتال برای یک نام دامنه خاص هستند یا خیر. این کار را با استفاده از یک رکورد منبع جدید "CAA" سامانه نام دامنه (DNS) انجام می دهدند .

این کار توسط دانشمندان رایانه ، فیلیپ هالام-بیکر و راب استرادینگ تهیه شده است در پاسخ به افزایش نگرانی ها درباره امنیت مقامات مجوز معتبر عمومی. همچنین به عنوان یک استاندارد پیشنهادیِ کارگروه مهندسی اینترنت (IETF) ثبت شده است .

زمینه[ویرایش]

مجموعه ای از گواهینامه های به اشتباه صادر شده از سال 2001 به بعد ^[۱] ^[۲] باعث صدمه خوردن اعتماد نسبت به مجوزهای معتبر عمومی شد، و موجب تسریع کار بر روی مکانیسم های مختلف امنیتی شد، از جمله شفافیت صدور گواهینامه برای پیگیری صدورهای اشتباه، پین کردن کلید عمومی HTTP و DANE ، برای جلوگیری از صدور گواهینامه های اشتباه از طرف مشتری، و CAA برای جلوگیری از صدور اشتباه مجوزها در طرف certificate authority^[۳]

در سپتامبر سال 2017 ، ژاکوب هوفمن-اندروز پیش نویس اینترنتی ارائه کرد که قصد دارد استاندارد CAA را ساده تر کند. این کار توسط گروه کاری LAMPS بهبود یافته و به عنوان استاندارد پیشنهادی RFC 8659، در نوامبر 2019 تصویب شد

از ژانویه سال 2020 ، Qualys گزارش داده است که هنوز هم ، تنها 6.8٪ از میان 150،000 محبوب ترین وب سایتهای پشتیبانی TLS از سوابق CAA استفاده می کنند.

اشکال در پایبندی به CAA باعث شد که Letry Encrypt مجبور شود میلیونها گواهینامه را در 3 مارس سال 2020 باطل کند. ^[۴]

یادداشت[ویرایش]

مقامات گواهینامه که CAA را پیاده سازی می کنند، یک جستجوی DNS برای سوابق منابع CAA انجام می دهند و در صورت وجود ، اطمینان حاصل می کنند که آنها قبل از صدور گواهی دیجیتال به عنوان یک عضو مجاز معرفی شده اند. هر پرونده منابع CAA از مؤلفه های زیر تشکیل شده است: ^[۵]

پرچم

بایت پرچم که یک سیستم سیگنالینگ گسترده را برای استفاده های بعدی پیاده سازی می کند. از سال 2018 فقط پرچم issuer critical تعریف شده است، که به مقامات صدور گواهینامه دستور می دهد قبل از صدور گواهی، tag ویژگی مربوطه را شناسایی کنند. این پرچم اجازه می دهد تا پروتکل بتواند در آینده با تعریف پسوندهای اجباری گسترش یابد ، ^[۳] مشابه برنامه های افزودنی مهم در گواهی های X.509 .

tag

شامل یکی از فیلدهای زیر است:

issue: این ویژگی، اجازه صدور گواهینامه به دارندگان دامنه مشخص شده، برای دامنه ای که ویژگی برای آن منتشر شده است را میدهد.
issuewild: این ویژگی مانند issue عمل می کند اما تنها اجازه صدور گواهینامه از کلمات (wildcard certificates)را میدهد، و همچنین بر ویژگی issue ارجحیت دارد.
iodef: این ویژگی روشی را برای مسئولان گواهینامه مشخص میکند برای گزارش درخواست های گواهی نامعتبر، و ارسال آن به دارنده نام دامنه با استفاده از قالب تبادل توضیحات شیء حادثه . از سال 2018، همه مقامات گواهینامه از این برچسب پشتیبانی نمی کنند ، بنابراین هیچ ضمانتی مبنی بر گزارش کلیه صدور گواهینامه ها وجود ندارد.

مقدار: مقدارِ مرتبط با ویژگی tag ای است که انتخاب شده.

عدم وجود سوابق CAA، صدور نرمال مجوز به صورت نامحدود را مجاز می داند ، و وجود یک برچسب خالی از issue صدور همه مجوزها را رد می کند.. ^[۵] ^[۶] ^[۷]

اشخاص ثالث نظارت بر عملکرد صدور مجوز گواهی، ممکن است گواهی های تازه صادر شده را در برابر سوابق CAA دامنه بررسی کنند ، اما باید توجه داشته باشند که سوابق CAA دامنه ممکن است بین زمان صدور گواهینامه و زمان بررسی شخص ثالث آنها تغییر کرده باشد. مشتریان نباید از CAA به عنوان بخشی از فرآیند اعتبار سنجی گواهینامه خود استفاده کنند. ^[۵]

توسعه ها[ویرایش]

پیش نویس اولین توسعه برای استاندارد CAA در تاریخ 26 اکتبر 2016 منتشر شد ، که درخواست یک account-uri جدید را میدهد، تا که یک دامنه را به یک محیط اختصاصی مدیریت گواهی خودکار متصل کند. ^[۸] این پیش نویس در 30 آگوست 2017 اصلاح شد ، همچنین شامل یک روش جدید برای اعتبارسنجی است ، که یک دامنه را به یک روش اعتبارسنجی خاص متصل می کند ، ^[۹] و سپس در 21 ژوئن 2018 اصلاح شد برای حذف کرذن خط ربط در account-uri و validation-methods و قراردادن accounturi و validationmethods به جای آنها. ^[۱۰]

مثال ها[ویرایش]

برای اینکه تنها مقام مجوز شناسایی شده توسط ca.example.net مجاز به صدور گواهینامه ها باشد (برای مثال com. و کلیه زیر دامنه های آن)، شخص میتواند از این پرونده CAA استفاده کند: ^[۵]

example.com. IN CAA 0 issue "ca.example.net"

برای رد هرگونه صدور گواهینامه ، شخص میتواند فقط به یک لیست صادر کننده خالی، اجازه صدور مجوز را بدهد:

example.com. IN CAA 0 issue ";"

برای نشان دادن اینکه مقامات مجوز باید درخواست های مربوط به گواهی نامعتبر را به آدرس ایمیل و نقطه پایانی (Real-time Inter-network Defense) گزارش دهند از این کد استفاده میشود:

example.com.  IN  CAA 0 iodef "mailto:security@example.com"
example.com.  IN  CAA 0 iodef "http://iodef.example.com/"

برای استفاده از توسعه بعدی این پروتکل، برای مثال،میخواهد یک ویژگی جدید را مشخص کند، پس قبل از اینکه با خیال راحت به کار خود ادامه دهد، باید این ویژگی توسط صدور گواهی شناخته شود. برای انجام این کار شخص می تواند پرچم issuer را تنظیم کند:

example.com. IN CAA 0 issue "ca.example.net" example.com. IN CAA 128 future "value"

همچنین ببینید[ویرایش]

سازش مجوز گواهی
Certificate Transparency
DNS-based Authentication of Named Entities
HTTP Public Key Pinning
List of DNS record types

منابع[ویرایش]

↑ Ristić, Ivan. "SSL/TLS and PKI History". Feisty Duck (به English). Retrieved June 8, 2018.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.
↑ Bright, Peter (August 30, 2011). "Another fraudulent certificate raises the same old questions about certificate authorities". Ars Technica (به English). Retrieved February 10, 2018.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.
↑ ^۳٫۰ ^۳٫۱ خطای لوآ در پودمان:Citation/CS1/en/Identifiers در خط 47: attempt to index field 'wikibase' (a nil value).
↑ at 19:44, Thomas Claburn in San Francisco 3 Mar 2020. "Let's Encrypt? Let's revoke 3 million HTTPS certificates on Wednesday, more like: Check code loop blunder strikes". www.theregister.co.uk (به English). Retrieved 2020-03-15.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.
↑ ^۵٫۰ ^۵٫۱ ^۵٫۲ ^۵٫۳ .
↑ Beattie, Doug (August 22, 2017). "What is CAA (Certificate Authority Authorization)?". GlobalSign (به English). Retrieved February 2, 2018.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.
↑ "What is Certificate Authority Authorization (CAA)?". Symantec. Retrieved January 8, 2018.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.
↑ Landau, Hugo (October 26, 2016). CAA Record Extensions for Account URI and ACME Method Binding. IETF. I-D draft-ietf-acme-caa-00. https://tools.ietf.org/html/draft-ietf-acme-caa-00.
↑ Landau, Hugo (August 30, 2017). CAA Record Extensions for Account URI and ACME Method Binding. IETF. I-D draft-ietf-acme-caa-04. https://tools.ietf.org/html/draft-ietf-acme-caa-04.
↑ Landau, Hugo (June 21, 2018). CAA Record Extensions for Account URI and ACME Method Binding. IETF. I-D draft-ietf-acme-caa-05. https://tools.ietf.org/html/draft-ietf-acme-caa-05.

لینک های خارجی[ویرایش]

RFC 8659

This article "مرجع صدور گواهینامه DNS" is from Wikipedia. The list of its authors can be seen in its historical and/or the page Edithistory:مرجع صدور گواهینامه DNS. Articles copied from Draft Namespace on Wikipedia could be seen on the Draft Namespace of Wikipedia and not main one.

Facebook Page

Follow us on Twitter !

Read or create/edit this page in another language[ویرایش]

مرجع صدور گواهینامه DNS in English

[feistyduck-1] Ristić, Ivan. "SSL/TLS and PKI History". Feisty Duck (به English). Retrieved June 8, 2018.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.

[arstechnica2011-2] Bright, Peter (August 30, 2011). "Another fraudulent certificate raises the same old questions about certificate authorities". Ars Technica (به English). Retrieved February 10, 2018.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.

[sigcomm2017-3] ۳٫۰ ^۳٫۱ خطای لوآ در پودمان:Citation/CS1/en/Identifiers در خط 47: attempt to index field 'wikibase' (a nil value).

[4] t 19:44, Thomas Claburn in San Francisco 3 Mar 2020. "Let's Encrypt? Let's revoke 3 million HTTPS certificates on Wednesday, more like: Check code loop blunder strikes". www.theregister.co.uk (به English). Retrieved 2020-03-15.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.

[rfc8659-5] ۵٫۰ ^۵٫۱ ^۵٫۲ ^۵٫۳ .

[globalsign2017-6] Beattie, Doug (August 22, 2017). "What is CAA (Certificate Authority Authorization)?". GlobalSign (به English). Retrieved February 2, 2018.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.

[symantec-7] "What is Certificate Authority Authorization (CAA)?". Symantec. Retrieved January 8, 2018.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.

[draft-ietf-acme-caa-00-8] Landau, Hugo (October 26, 2016). CAA Record Extensions for Account URI and ACME Method Binding. IETF. I-D draft-ietf-acme-caa-00. https://tools.ietf.org/html/draft-ietf-acme-caa-00.

[draft-ietf-acme-caa-04-9] Landau, Hugo (August 30, 2017). CAA Record Extensions for Account URI and ACME Method Binding. IETF. I-D draft-ietf-acme-caa-04. https://tools.ietf.org/html/draft-ietf-acme-caa-04.

[draft-ietf-acme-caa-05-10] Landau, Hugo (June 21, 2018). CAA Record Extensions for Account URI and ACME Method Binding. IETF. I-D draft-ietf-acme-caa-05. https://tools.ietf.org/html/draft-ietf-acme-caa-05.

[۱]

[۲]

[۳]

[۴]

[۵]

[۶]

[۷]

[۸]

[۹]

[۱۰]