Вносим CAA запись в DNS (bind9)

0 Comments
dns_bind9

Начиная с сентября 2017 года удостоверяющим центрам предписано обязательно проверять CAA-записи в DNS перед генерацией сертификата. CAA (RFC-6844, Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, который имеет полномочия для генерации сертификатов для указанного домена. При наличии CAA-записи все остальные удостоверяющие центры обязаны блокировать выдачу сертификатов от своего имени для данного домена и информировать его владельца о попытках компрометации.

И так, исходя из этого я решил внести данную запись в свой DNS сервер. Оговорюсь, что сервер работает на Ubuntu Server 16.04 с пакетом bind9 и с центром сертификации Let’s Encrypt. Давайте же начнем.

Как установить и настроить DNS сервер bind9.

Вносим CAA запись.

Откроем файл настройки прямой зоны DNS для сайта mysie.ru на редактирование.

sudo nano /etc/bind/db.mysite.ru

И вносим в него запись CAA. Вот так выглядит файл прямой зоны для mysite.ru:

$TTL 14400
@ IN SOA mysite.ru. root.mysite.ru. (
                    2018022105
                    7200
                    3600
                    1209600
                    180 )
@ 14400 IN NS ns1.mydns.ru.
@ 14400 IN NS ns2.mydns2.ru.
@ 14400 IN A 222.222.222.222
www 14400 IN A 222.222.222.222
@ CAA 0 issue "letsencrypt.org"
@ CAA 0 iodef "mailto:admin@mysite.ru"

Допустимо указание нескольких записей issue, при использовании сертификатов от нескольких удостоверяющих центров:

mydns.ru.       CAA 0 issue "symantec.com"
mydns.ru.       CAA 0 issue "pki.goog"
mydns.ru.       CAA 0 issue "digicert.com"

сертификаты для mysite.ru генерируются только удостоверяющим центром Let’s Encrypt. В поле iodef задаётся метод оповещения о попытке генерации сертификата,  уведомления отправляется на email указанный в этом поле.

Проверка CAA записи

Проверить корректность записей CAA можно командой:

dig +short +noshort mysite.ru CAA

или

host -t CAA mysite.ru

Если есть вопросы, то пишем в комментариях.

Также можете вступить в Телеграм канал, ВКонтакте или подписаться на Twitter. Ссылки в шапке страницы.
Заранее всем спасибо!!!

RSS

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Настройка DNSSEC на Ubuntu Server + Bind9
dnssec

ехнология DNS в нынешнем виде была разработана более 20 лет назад, когда о защите информации мало кто задумывался. Поэтому в Читать

Настройка DNS сервера с FQDN-доменом и внешним статическим ip адресом
dns_bind9

Сегодня настроим DNS сервер с FQDN-доменым именем и внешним статическим ip адресом. В качестве DNS сервера будет выступать bind9 и Читать

Как использовать DANE / TLSA
dnssec

DNS-аутентификация именных объектов (DANE) - отличная функция, которая использует преимущества подписанной зоны DNSSEC, чтобы сообщить клиенту, какой сертификат TLS он Читать

Настройка DHCP на Raspberry pi | Ubuntu Server
Настройка DHCP на Raspberry pi | Ubuntu Server

В сегодняшней статье рассмотрим пример установки и настройки dhcp на сервере с операционной системой Ubuntu. DHCP — сетевой протокол, позволяющий сетевым Читать

5 1 голос
Рейтинг статьи

Подписаться
Уведомление о
guest

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

0 комментариев
Inline Feedbacks
Просмотреть все комментарии

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: