Försvåra för intrångsgörare med CAA records

Om fel person får tillgång till ett företags webbserver kan denna avkryptera trafik och samla exempelvis uppgifter som inlogg eller betalinformation. Utspridd certifikatshantering kan också skapa stökig administration och öka risken för felsteg.

CAA är ett DNS record som gör det svårare för diverse intrångsgörare genom att minimera risken för certifikatutfärdande av obehöriga och samtidigt är kostnadsfritt att implementera.

Vad är CAA (Certificate Authority Authorization)?

 CAA (Certificate Authority Authorization) DNS record låter domännamnsinnehavare ange en eller flera certifikatutfärdare (CAs) som är auktoriserade att utfärda SSL certifikat för den specifika domänen. Detta innebär att man begränsar vilka certifikatutfärdare som kan användas genom att ”påtvinga” efterlevnad av Certifikat Policy.

Enligt branschstandard, måste samtliga CAs kontrollera CAA-poster för att säkerställa behörighet att utfärda certifikat för en viss domän, innan utfärdandet. Saknas CAA-post helt, får olistade CA:s utfärda certifikatet för domänen.

Varför ska man använda CAA?

 Sammanfattningsvis, hjälper CAA-records till att säkerställa att företaget efterlever sin Certifikat Policy.

 Genom att använda CAA kan man:

  1. Begränsa vilka leverantörer som skall få utfärda certifikat på domänen/domänerna
  2. Ange huruvida wildcardcertifikat är tillåtet eller ej
  3. Säkerställa rapportering till en mailadress när/om någon försöker bryta mot policyn

Även om CAA inte stoppar cyberkriminella att utfärda certifikat från de leverantörer som man har med i sin CAA policy, skapas kontroll och översyn som ökar säkerheten mot affärspåverkan.

I större organisationer kan detta dessutom vara ett bra knep för att undvika spridd certifikatshantering. En anställd som inte känner till policyn kan inte utfärda certifikat från ej listade CA:s.

Vill du veta mer?

 Vi finns här och svarar gärna på frågor. Välkommen att kontakta oss på hej@dotkeeper.com!