Cuma, Aralık 6, 2024

En Vahşisi CAA: Yeni Standartları Desteklemek

CAA Kaydı Nedir ?

Sertifika Yetkilisi Yetkilendirme (CAA) kaydı, bir etki alanı için sertifika vermek için hangi sertifika yetkililerinin (CA’lar) izin verildiğini belirtmek için kullanılır.

Sertifika Yetkilisi Yetkilendirme (CAA) DNS Kaynak Kaydı, DNS etki alanı adı sahibinin bir veya daha fazla Sertifika belirtmesine olanak tanır. Bu etki alanı için sertifika vermeye yetkili makamlar (CA’lar). CAA Kaynak Kayıtları, bir Kamu Sertifika Otoritesinin İstenmeyen riski azaltmak için ek denetimler uygulayın sertifika yanlış yayını Bu belge CAA’nın sözdizimini tanımlar, sertifika veren kuruluşlar tarafından CAA kayıtlarının işlenmesi için kayıt ve kurallar bütünüdür.

ssl-sertifika-guven-simge

Herhangi bir CAA kaydı mevcut değilse, herhangi bir CA’ya alan adı için bir sertifika vermesine izin verilir. Bir CAA kaydı varsa, kayıtlarda listelenen CA’lara yalnızca bu ana makine adı için sertifika verilmesine izin verilir. İzinsiz sertifika üretimi bu şekilde sonlandırılmaya çalışılmıştır.

CAA kayıtları, tüm alan adı veya belirli ana makine adları için ilkeler belirleyebilir. CAA kayıtları alt alanlar tarafından da devralınır; bu nedenle, mertcangokgoz.com ‘da belirlenen bir CAA kaydı, alt alan doc.mertcangokgoz.com gibi herhangi bir alt alana (geçersiz kılınmadığı sürece) uygulanır. CAA kayıtları, tekli ad sertifikalarını, wildcard sertifikaları veya her ikisini birden kontrol edebilir. Daha fazlası için RFC 6844

CAA kayıt formatı

CAA <flags> <tag> <value>

RFC şu anda 3 mevcut etiketi tanımlıyor:

  • issue: tek bir sertifika yetkilisine, ana makine adı için bir sertifika (herhangi bir tür) verme yetkisi verir.
  • issuewild: tek bir sertifika yetkilisine, ana makine adı için bir wildcard sertifika (ve yalnızca *.example.com) verme yetkisi verir.
  • iodef: bir sertifika yetkilisinin politika ihlallerini rapor edebileceği bir URL’yi belirtir.

CAA kayıt kullanımı

Format bölümünde açıklandığı gibi, her CAA kaydı yalnızca bir tag – value çifti içerir. tag, şu anda kullanılabilen etiketlerden biri olmalıdır.

Örneğin, mertcangokgoz.com için SSL sertifikalarının verilmesini Let’s Encrypt sertifika yetkilisine sınırlamak istiyorsak, aşağıdaki CAA kaydını eklemeliyiz:

mertcangokgoz.com.  CAA 0 issue "letsencrypt.org"

Hem Let’s Encrypt hem de Comodo’ya izin vermek istiyorsak, her CA için bir tane olmak üzere 2 CAA kaydı eklememiz gerekir:

mertcangokgoz.com.  CAA 0 issue "comodoca.com"
mertcangokgoz.com.  CAA 0 issue "letsencrypt.org"

Let’s Encrypt kullanıp Comodo’yu yalnızca wildcard karakter için izin vermek istiyorsak,

mertcangokgoz.com.  CAA 0 issue "letsencrypt.org"
mertcangokgoz.com.  CAA 0 issuewild "comodoca.com"

wildcard izin verildiği taktirde issue konumundaki diğer otoriteyi ezeceğini unutmayın.

Son olarak, politika ihlallerinden haberdar olmak için bildirilecek e-posta adresini içeren iodef tagı ile bir kayıt ekleyebilirsiniz:

mertcangokgoz.com.  CAA 0 iodef "mailto:[email protected]"

Örnek bir CAA record sorgu çıktımız ise şu şekilde olmasını beklemekteyiz.

mertcan@Mertcan-MacBook-Air ~ $ dig mertcangokgoz.com type257

; <<>> DiG 9.9.7-P3 <<>> mertcangokgoz.com type257
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59128
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;mertcangokgoz.com.		IN	CAA

;; ANSWER SECTION:
mertcangokgoz.com.	299	IN	CAA	0 issue "letsencrypt.org"
mertcangokgoz.com.	299	IN	CAA	0 issue "comodoca.com"
mertcangokgoz.com.	299	IN	CAA	0 issue "digicert.com"
mertcangokgoz.com.	299	IN	CAA	0 issue "globalsign.com"
mertcangokgoz.com.	299	IN	CAA	0 issuewild "comodoca.com"
mertcangokgoz.com.	299	IN	CAA	0 issuewild "digicert.com"
mertcangokgoz.com.	299	IN	CAA	0 issuewild "globalsign.com"

;; Query time: 90 msec
;; SERVER: 9.9.9.9#53(9.9.9.9)
;; WHEN: Mon Dec 11 14:05:21 +03 2017
;; MSG SIZE  rcvd: 282