HyperOne

# Usługa DNS obsługuje rekordy CAA

HyperOne rozbudowuje usługę DNS zwiększając jej niezawodność oraz bezpieczeństwo użytkowników usługi. Obecnie wprowadzona aktualizacja umożliwia Organizacji wzmocnić ochronę swojej tożsamości w sieci i niezawodność infrastruktury przez wykorzystanie rekordów DNS typu CAA.

Przy każdym wejściu na witryny internetowe przeglądarka aby zapewnić bezpieczeństwo wykonuje w tle liczne operacje nie widoczne dla oglądającego jednak mające znaczny wpływ na jego bezpieczeństwo. Wśród tych operacji jest weryfikacja czy przedstawiony certyfikat potwierdzający tożsamość witryny jest odpowiedni. Wykorzystywane są certyfikaty, ponieważ sama deklaracja co do tożsamości nie wystarczy w Internecie.

Certyfikaty są przyznawane przez grono urzędów certyfikacji (CA - ang. Certificate Authority) – podmiotów wybranych przez dostawców przeglądarek internetowych i systemów operacyjnych jako godne zaufania. Niemal każdy urząd certyfikacji ma możliwość wystawienia certyfikatu dla dowolnej witryny. W rzadkich przypadkach może jednak popełnić błąd lub nie dochować procedur. Kiedy tak się dzieje, wydawane są fałszywe certyfikaty (nawet jeśli wydają się być autentyczne).

Jeśli urząd certyfikacji przypadkowo wyda certyfikat dla witryny Organizacji, która wcale nie zażądała certyfikatu, Organizacja ma problem. Ktokolwiek otrzymał certyfikat, może pod pewnymi warunkami:

  • uzyskiwać dane logowania od użytkowników,
  • podszywać się pod witrynę, udostępniając własne treści.

Takie sytuacje się zdarzają (opens new window), więc warto dbać o bezpieczeństwo tego systemu. Jednak z elementów, który może go usprawnić jest wykorzystanie rekordów CAA w strefie DNS domeny Organizacji. Pozwalają one wskazanie przez Organizacje urzędów certyfikacji (CA), które wyłącznie będą uprawnione do wystawienia certyfikatów dla witryny. Wystawienie certyfikatu przez nieuprawniony urząd certyfikacji będzie niedopuszczalne i łatwo weryfikowalne podczas stałych audytów.

Z tego względu usługa DNS została rozbudowana o obsługę rekordów DNS typu CAA. Ich użycie pozwala uchronić przed sytuacją, gdy zupełnie obcy dla Organizacji urząd certyfikacji wystawia dla domeny Organizacji certyfikat na skutek pomyłki stwarzając przy tym zagrożenie dla tej Organizacja. Dodanie rekordów CAA jest prostą czynnością, która umożliwia zabezpieczenie przed takimi sytuacjami w przyszłości.

Szczegółowe informacje na temat sposobu użycia nowego typu rekordów są dostępne w dokumentacji usługi DNS.

Dostępność serwera DNS jest niezbędnym elementem poprawnego dostępu do witryny. Z tego względu udostępniona usługa DNS została zaprojektowana z uwzględnieniem wysokodostępnej architektury od jej fundamentów aż po rozłożenie jej obsługi na różne domeny najwyższego poziomu.

Obecnie funkcjonalność rekordów CAA jest dostępna dla wybranej grupy projektów które posiadają zwiększone wymagania względem bezpieczeństwa. Aby do nich dołączyć otwórz zgłoszenie do wsparcia w panelu zarządzania. Natomiast w najbliższych dniach zostanie udostępniona dla wszystkich Użytkowników.

Spodziewamy się dalszych prac. Pierw jednak chcemy dokładne poznać w jaki sposób wykorzystywana jest usługa DNS w Organizacjach oraz szczególnie liczymy na uwagi w zakresie integracji z zewnętrznymi narzędziami lub potencjału użycia w specyficznych środowiskach. Podzielcie się swoimi wrażeniami poprzez zgłoszenie w panelu zarządzania.

Adam Dobrawy - Warszawa, 25 września 2019 roku

Integracja usługi Dziennik z oprogramowaniem Docker
Czy uważasz ten artykuł za przydatny? Tak Nie
HyperOne
Zaufanie
Istotne narzędzia
Społeczność
Problemy