Вносим CAA запись в DNS (bind9)
Начиная с сентября 2017 года удостоверяющим центрам предписано обязательно проверять CAA-записи в DNS перед генерацией сертификата. CAA (RFC-6844, Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, который имеет полномочия для генерации сертификатов для указанного домена. При наличии CAA-записи все остальные удостоверяющие центры обязаны блокировать выдачу сертификатов от своего имени для данного домена и информировать его владельца о попытках компрометации.
И так, исходя из этого я решил внести данную запись в свой DNS сервер. Оговорюсь, что сервер работает на Ubuntu Server 16.04 с пакетом bind9 и с центром сертификации Let’s Encrypt. Давайте же начнем.
Вносим CAA запись.
Откроем файл настройки прямой зоны DNS для сайта mysie.ru на редактирование.
sudo nano /etc/bind/db.mysite.ruИ вносим в него запись CAA. Вот так выглядит файл прямой зоны для mysite.ru:
$TTL 14400
@ IN SOA mysite.ru. root.mysite.ru. (
2018022105
7200
3600
1209600
180 )
@ 14400 IN NS ns1.mydns.ru.
@ 14400 IN NS ns2.mydns2.ru.
@ 14400 IN A 222.222.222.222
www 14400 IN A 222.222.222.222
@ CAA 0 issue "letsencrypt.org"
@ CAA 0 iodef "mailto:admin@mysite.ru"Допустимо указание нескольких записей issue, при использовании сертификатов от нескольких удостоверяющих центров:
mydns.ru. CAA 0 issue "symantec.com"
mydns.ru. CAA 0 issue "pki.goog"
mydns.ru. CAA 0 issue "digicert.com"сертификаты для mysite.ru генерируются только удостоверяющим центром Let’s Encrypt. В поле iodef задаётся метод оповещения о попытке генерации сертификата, уведомления отправляется на email указанный в этом поле.
Проверка CAA записи
Проверить корректность записей CAA можно командой:
dig +short +noshort mysite.ru CAAили
host -t CAA mysite.ruЕсли есть вопросы, то пишем в комментариях.
Также можете вступить в Телеграм канал, ВКонтакте или подписаться на Twitter. Ссылки в шапке страницы.
Заранее всем спасибо!!!
RSS
- Запускаем скрипт после запуска сети Ubuntu 22.04
- Как перезагрузиться при «Input / Output Error»
- Использование архиватора xz в Linux
- [РЕШЕНО] “cc_final_message.py [WARNING]”
- [РЕШЕНО] ошибка при обработке пакета grub-common
ехнология DNS в нынешнем виде была разработана более 20 лет назад, когда о защите информации мало кто задумывался. Поэтому в Читать
Сегодня настроим DNS сервер с FQDN-доменым именем и внешним статическим ip адресом. В качестве DNS сервера будет выступать bind9 и Читать
DNS-аутентификация именных объектов (DANE) - отличная функция, которая использует преимущества подписанной зоны DNSSEC, чтобы сообщить клиенту, какой сертификат TLS он Читать
В сегодняшней статье рассмотрим пример установки и настройки dhcp на сервере с операционной системой Ubuntu. DHCP — сетевой протокол, позволяющий сетевым Читать