• Tips >  
  • CAA: Het DNS-record dat niet gerechtigde SSL-certificaten helpt te voorkomen

 

Nieuws | maandag 17 juli 2017 Deel op Facebook     

CAA: Het DNS-record dat niet gerechtigde SSL-certificaten helpt te voorkomen

Binnenkort moeten uitgevers van SSL-certificaten het Certification Authority Authorization-record controleren. Dat record moet helpen in de strijd tegen frauduleuze aanvragen van SSL-certificaten.

 

Het Certification Authority Authorization-record, of CAA, werd al in 2013 een erkende standaard. Domeinnaamhouders die het DNS-record instellen op hun domeinnaam, geven daarmee aan welke autoriteiten een SSL-certificaat mogen uitgeven voor de domeinnaam.

Certificaatautoriteiten (CA's) waren niet verplicht om dat CAA-record te controleren. Met frauduleuze SSL-certificaten als gevolg.

De mogelijkheden van het Certification Authority Authorization-record

Daar komt binnenkort verandering in. Vanaf september worden SSL-autoriteiten verplicht het CAA-record van een domeinnaam te controleren als deel van de uitgifte van een certificaat.

Een CAA-record ziet er uit als volgt:

domeinnaam.tips. CAA 0 issue "letsencrypt.org"

Het record geeft aan dat Let's Encrypt de gecertifieerde partij is om een SSL-certificaat uit te geven voor domeinnaam.tips. Houders van een domeinnaam kunnen verschillende Certification Authority Authorization-records instellen.

domeinnaam.tips. CAA 0 issue "letsencrypt.org"
domeinnaam.tips. CAA 0 issue "comodo.com"

Door meerdere CAA-records toe te voegen aan een domeinnaam, worden verschillende autoriteiten gerechtigd om een SSL-certificaat te verstrekken.

Domeinnaamhouders kunnen ook een CAA-record instellen voor een wildcard op hun domeinnaam.

domeinnaam.tips. CAA 0 issue "letsencrypt.org"
domeinnaam.tips. CAA 0 issuewild "letsencrypt.org"

Het laatste record zorgt ervoor dat Comodo alle subdomeinen die worden aangemaakt mag beveiligen met SSL. Let's Encrypt is dan weer de enige gerechtigde uitgever van SSL voor de hoofddomeinnaam.

Het CAA-record kan ook voor specifieke subdomeinen worden ingesteld. Dat kan zinvol zijn wanneer een subdomein beveiligd moet worden met een strenger SSL-certificaat.

Tot slot kunnen domeinnaamhouders ook een alert instellen.

domeinnaam.tips. CAA 0 iodef "mailto:waarschuwmij@domeinnaam.tips"

Wordt dergelijk CAA-record ingesteld, dan ontvangt de domeinnaamhouder een bericht wanneer een fout of frauduleus SSL-certificaat wordt aangevraagd.

Best practice: Beveilig DNS-records met DNSSEC

Het CAA-record biedt twee belangrijke voordelen. Domeinnaamhouders kunnen bepalen welke autoriteiten een certificaat mogen uitgeven. Daarnaast kunnen ze een waarschuwing instellen wanneer onrechtmatig een certificaat wordt aangevraagd.

Maar het CAA-record beschermt domeinnaamhouders niet voor internetcriminelen die de DNS-instellingen omzeilen. Hackers kunnen de DNS-instellingen aanpassen en alsnog een SSL-certificaat aanvragen voor een domeinnaam voor een phishingaanval.

Daarom is het sterk aangeraden om DNSSEC in te stellen. DNSSEC beveiligt de instellingen van een domeinnaam door een versleutelde handtekening toe te voegen aan de DNS-records.

 


Lees meer over : SSL | CAA | https | let's encrypt

 

Deel dit artikel  Deel op Facebook     

   

Abonneer op onze nieuwsbrief

Ontvang iedere woensdag tips en het laatste nieuws over domeinnamen in je mailbox.

Partners

Domeinnaam registreren bij Nomeo DomeinDeals - domeinnaamregistratie voor webprofessionals cloudstar
Persberichten - Adverteren - Sitemap - Privacy & gebruiksovereenkomst - 2015-2016 © Kreos Services bvba