パスワードを忘れた? アカウント作成
13196786 story
インターネット

DNSのCAAリソース・レコード、使っていますか? 17

ストーリー by hylom
そんな仕組みがあったのか 部門より
iida曰く、

英文WikipediaのDNS Certification Authority Authorizationの記事からResults on Ballot 187 - Make CAA Checking Mandatoryへのリンクが張られていた。このリンク先はCA/Browserフォーラムの動議187号の採決結果で、これによって2017年9月8日よりTLS(SSL) サーバー証明書の発行に先立って、DNSのCAAリソース・レコードの確認が必須になるようだ(アールエムエスの解説記事)。

皆さん、DNSのCAAリソース・レコード、使っていますか?

DNSのCAAレコードはRFC 6844で提案されているもので、ドメイン名やサブドメイン名の情報に認証局情報を追加するもの。これにより、認証局は証明書の発行時に対象ドメインのCAAレコードをチェックし、異なる認証局が設定されていた場合は誤った発行申請の可能性があるとして証明書の発行をペンディングするという仕組み。

  • スラドのSEOぱねぇっす…

    ここに返信
    • by Anonymous Coward

      あなたがスラドをよく利用しているという点も含めての上位では?

      • by Anonymous Coward

        ログアウト時の検索内容の保存を無効にしても普通にトップに来たよ。

        ほかにCAAリソースに言及している日本語サイトがほとんどないだけだと思うけど。

        • by Anonymous Coward

          ログアウト時の検索内容の保存を無効にしても普通にトップに来たよ。

          これだけじゃストーカー広告はストーカーやめないよ。

  • by Anonymous Coward on 2017年03月15日 12時58分 (#3176915)

    レンタル鯖で非TLSなサイトを動かしてるだけだし・・・
    そもそもCAAに対応してるか確認してない

    ここに返信
    • by Ryo.F (3896) on 2017年03月18日 10時50分 (#3178622) 日記

      CAA レコードは、認証局/証明書発行機関/CAが、対象となるドメインの所有者を確認する方法だよね。
      証明書を発行してもらう側から言わせてもらうと、CA が CAA レコードを要求しないなら、CAA レコードは「使わない」し、要求するなら、DNS に CAA レコードを追加するだけ。

      なので、この「使ってますか?」という問は主に CA に対して発するべきじゃないかと思うね。

      ところで、ちょっと違うけど、Google Apps は、ドメインの所有を確認するために、Google の指定した cookie 的な文字列を TXT レコードとして追加させるね。
      SPF とかとも似てるのかな。

      • by Anonymous Coward

        そもそもはいろむがCA向けであることを理解していないのではないか疑惑。リンク先にもちゃんと書いてるのに。

        ※この規定は認証局 (CA) に課せられる義務ですが、すべてのドメインで必ずCAAレコードが設定されていなければならないという訳ではありません。

      • by Anonymous Coward

        使ってますか、というより、設定(または登録)してますか、の方が妥当かな。

        自分はLet'sEncrypt使ってるけど、CAA確認してるのだろうか。

        • by Anonymous Coward

          自分はLet'sEncrypt使ってるけど、CAA確認してるのだろうか。

          Let'sEncryptがCAAの設定を要求してきましたか?
          要求したのならば確認しているだろう。じゃなきゃ確認していないであろう。

          ま書いておくと
          Let'sEncryptはCAA設定をしていればそれにしたがって証明書をだし
          設定がしていなければそれ以外の証明書を出しているはずです。

          • by Anonymous Coward

            つまりCAAの設定を要求しないけど黙ってCAA確認してるっておい二行目と矛盾してんぞ

  • by Anonymous Coward on 2017年03月18日 12時52分 (#3178650)

    "CAA" "letsencrypt" "bind 9"
    https://www.google.co.jp/search?q=%22CAA%22+%22letsencrypt%22+%22bind+9%22 [google.co.jp]

    ほかにもググってみたけど
    「(´・ω・`)CAAとか知らんがな」
    ってかんじですね

    # 徒労の成果にこんなん見つけた CAA Record Generator : https://sslmate.com/labs/caa/ [sslmate.com]

    ここに返信
    • by Anonymous Coward on 2017年03月18日 20時19分 (#3178824)

      「DNS CAA」で検索すると色々出てくるからキーワードが悪いだけじゃないかな。

      # CAAという略語自体がググラビリティが低いというのも原因ぽい。

    • by Anonymous Coward
      ここにはrecommendedと書かれれてるから採用は当面ないんじゃないかな。
      https://tools.ietf.org/html/draft-ietf-acme-acme-06

      適用されるとDNSSECも対応必須だろうから、ちょっと面倒そう。
  • by Anonymous Coward on 2017年03月19日 12時13分 (#3179002)

    直接ゾーン情報を編集・管理できるドメイン名ならともかく、主流になりつつあるクラウド型DNSサービス(設定できるRRTypeに制限がある)で対応できるのかな。

    ここに返信
  • by Anonymous Coward on 2017年03月19日 18時02分 (#3179092)

    DNS cache poisoning 攻撃を考えると、CAAはDNSSECと組み合わせないと意味がないというか、
    むしろ信頼性が低下する。

    でも、DNSSECがちゃんと普及するなら、そのDNSSEC的な公開鍵配布の仕組みを用いて、
    SSL証明書のドメイン認証レベルまでは実現できたはず。
    (企業認証やEV認証もその延長線上で実現する手だってあっただろう)

    SSL証明書が、DNSのドメイン階層とまったく関係ないOSIのX.509証明書を流用したおかげで、
    同じようなことを二重に実装することになって世の中の複雑度が上がってるんじゃないか。

    DNSSECが本格的な普及せずに終われば二重じゃなくてすむけど。
    DDoS amplifier的に意味では、DNSSECはむしろ問題源となるプロトコルだし。

    ここに返信
    • by Anonymous Coward

      だから誤発行の防止だって言ってるじゃん。最初から目的にもしていないMiTM防御の役に立たないとか言いがかりつけられても

      • by Anonymous Coward

        > だから誤発行の防止だって言ってるじゃん。

        DNSSEC使ってない限り、誤発行の防止にさえ使えない。つまりDNSSEC必須な仕組み。

        DNSSEC必須であれば、現行のSSL証明書の仕組みが屋上屋を重ねる感じでなんだかなあ。

        って話なんだけど...?

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...