来自 数据 2021-05-01 12:10 的文章

云盾_ddos防御盾_新用户优惠

云盾_ddos防御盾_新用户优惠

公钥基础设施(PKI)生态系统依赖于各种证书颁发机构(CA)如DigiCert颁发的根证书。这就是浏览器用来决定哪些网站可以信任,网站防御ddos,哪些网站不能信任。但是,如果任何CA可以为任何域颁发TLS/SSL证书,那么证书的颁发就可能在网站运营商不知情的情况下发生,这可能是由于错误或恶意参与者故意造成的。为了跟踪哪些CA可以向哪些组织颁发证书,2017年,认证机构授权(CAA)成为强制性的。当然,每一个解决方案都会带来新的挑战。现在,随着CAA检查出现了几个问题,CAs正在寻找新的解决方案。在本文中,我们将解释CAA是如何工作的,由此产生的问题,以及为什么基于rfc8659的CAA检查是下一个最好的改进。什么是证书颁发机构授权?CAA记录是一个DNS资源记录,它允许域所有者指定哪些ca被授权为其域颁发证书,而实际上,哪些ca没有。其思想是CA在颁发证书之前检查域的CAA记录。如果它发现一个域没有CAA记录,那么如果所有其他身份验证检查都成功,它就可以为它颁发证书。但是,ddos防御怎么关,如果它确实遇到一个或多个CAA记录,那么CA只能在其中一个记录中命名的情况下颁发证书,这表明它有权为该域颁发证书。整个过程旨在防止CA由未经授权的方或不良行为者发出未经授权的证书颁发请求。因此,带有CAA检查的CA发布过程如下所示:CAA检查:强制?DigiCert多年来一直在检查CAA记录,但直到2017年CA/Browser论坛通过187号投票,要求所有CA(即使不是论坛成员的CA)都要检查CAA记录,作为每个域证书颁发过程的一部分。根据RFC 6844,CAs不能再为域颁发证书,除非:CA找不到域的任何CAA记录证书请求与适用的CAA资源记录一致你可以在这里完整地阅读选票。CAA检查:可选?当一个解决方案带来对问题的新理解时,阿里云ddos防御能力,新的解决方案也随之产生。DigiCert投票赞成CAA检查成为强制性的,但自那以后,CA遇到了各种各样的问题,导致了勘误表。最初的RFC为CAA指定了一个搜索算法,该算法错误地处理了CNAME和DNAME CAA记录,使得一些本应能够获得证书的组织无法接收它们。此外,在CAA记录应如何格式化的规范中存在许多错误,以及缺乏关于如果CAA记录存在但不包含列出授权CA的记录的信息,该怎么办。这就是为什么互联网工程任务组(IETF)LAMPS工作组(我担任其共同主席)审查了这些挑战,ddos防御收费,并提出了改进建议,以rfc8659取代rfc6844。RFC 8659主要修复与CAA检查相关的技术错误。大多数证书用户不会注意到任何变化,因为CA/Browser论坛已经采用了一些勘误表。然而,rfc8659将所有这些更改合并到一个单独的、编写良好的文档中,该文档描述了现代CAA检查的正确实现。改进的过程我们的行业在不断发展。不断创新和改进新技术的方法。以前的CAA检查规范导致一些组织被拒绝证书并留下错误的空间。更新的规范更清晰,编写得更好,修复了几个有问题的角落案例。证书颁发机构授权检查:它是什么,它为什么重要?上次修改时间:2020年6月3日,java防御ddos攻击,作者:Timothy Hollebeek