مجوز گواهینامه (CAA) یک استاندارد است که به منظور جلوگیری از ایجاد مجوزهای SSL / TLS غیر مجاز طراحی شده است و همچنین به صاحبان دامنه اجازه می دهد مشخص كنند كه کدام مجوزهای (CA) مجاز به صدور گواهینامه هستند. مانند سایر رکورد های DNS ، رکورد CAA می توانند در کل دامنه هایی مانند مثال.com یا ساب دامنه های خاص مانند blog.shetabanhost.com اعمال شوند. به همین ترتیب ، طول عمر رکورد را می توان با مقدار Time To Live یا (TTL) در مدت زمان چند ثانیه تنظیم کرد.
در ادامه با ما در شتابان هاست همراه باشید تا به این موضوع بپردازیم.
موارد استفاده از CAA رکورد:
CAA برای کاهش قرار گرفتن در معرض آسیب پذیری در سیستم های تأیید مجوز گواهینامه و اجرای سیاست های تهیه گواهینامه استفاده می شود. برای استفاده از CAA ، شما مجموعه ای از سوابق CAA را در DNS دامنه خود منتشر می کنید که CA هایی را که مجاز به صدور گواهی نامه هستید ، لیست می کند. CA سوابق CAA شما را بررسی می کند و اگر قبل از صدور گواهینامه ذکر نشده باشد ، درخواست را مسدود می کند.
اگر سابقه CAA موجود باشد ، هر CA می تواند گواهی نامه ای را برای دامنه صادر کند ، اما اگر یک رکورد CAA موجود باشد ، فقط CA های ذکر شده در رکورد (ها) می توانند گواهی نامه هایی را برای آن نام میزبان صادر کنند.
مزایای CAA رکورد:
مزایای این رکورد این است که قوانین ارتباطی CA را به طور یکسان بررسی می کند. کلیه CA ها ملزم به بررسی و پیروی از سوابق CAA هستند.
نکته مثبت دیگر این است که سرعتی که در آن رکورد رخ می دهد. بررسی رکورد CAA در هر رکورد در حدود ۷ms طول می کشد ، که برای اکثر سیستم ها فشار سنگینی ندارد.
فرمت رکورد:
توسط عناصر زیر نشان داده شده می شود:
flag: در حال حاضر برای نشان دادن پرچم بحرانی استفاده می شود ، که برای RFC معنای خاصی دارد که عدد صحیحی بدون علامت بین ۰-۲۵۵ دارد.
tag: یک رشته ASCII که نشان دهنده شناسه خاصیتی است که با کاربری ثبت می شود.
value: مقدار با تگ همراه است.
بصورت زیر نشان داده می شود:
CAA <flags> <tag> <value>
نرم افزار سرور DNS زیر از این رکورد پشتیبانی می کند:
- NSD (Prior to version 4.0.1 use RFC 3597 syntax)
- PowerDNS ≥۴٫۰٫۰
- Knot DNS ≥۲٫۲٫۰
- Simple DNS Plus ≥۶٫۰
- Windows Server 2016 (use RFC 3597 syntax)
- tinydns (use generic record syntax)
- ldns ≥۱٫۶٫۱۷
- OpenDNSSEC (with ldns ≥۱٫۶٫۱۷)
- BIND (Prior to version 9.9.6 use RFC 3597 syntax)
خدمات DNS زیر از این رکورد پشتیبانی می کنند:
- Google Cloud DNS
- DNSimple
- DNS Made Easy
- Constellix DNS
- CloudFlare
- Dyn Managed DNS
- ClouDNS
- Afraid.org Free DNS
- Neustar UltraDNS
- Gandi
- Domeneshop (Domainnameshop)
- Hurricane Electric Free DNS
- BuddyNS
- NS1
- Amazon Route 5
امیدوارم این مقاله برای شما مفید بوده باشد.
ما را در شتابان هاست دنبال کنید.