当前位置:主页 > CC防护 > 正文

服务器防护_有效的_河南纸牌高防

03-30 CC防护

<a href='http://www.ddosgb.com/' target='_blank'><u>服务器防护</u></a>_有效的_河南纸牌高防

证书颁发机构将在颁发或续订证书之前验证您的身份(Imperva也是如此)。CA/Browser论坛要求证书颁发机构在颁发或续订证书之前验证您的身份。验证是使用作为证书控制策略的DNS证书颁发机构授权(CAA)记录来完成的。CA和DNS实体之间的这个附加验证过程限制了攻击者为您的站点颁发证书和执行中间人(MITM)等攻击的能力。在这篇文章中,我们将了解CAA记录如何为防止欺诈和恶意活动添加额外的安全层。什么是CAA记录?为什么它很重要?RFC 6844(2013)定义并指定DNS CAA记录。它旨在供域所有者用作控制策略,以指定哪些CA有权为其域颁发证书。CAA记录不是强制性的(目前?),但CA/B论坛建议使用它,我们也一样。使用CAA记录可以帮助域所有者限制可以为其域颁发证书的CA,并可以防止未经授权、欺诈或恶意颁发证书。根据要求,CA可以为具有以下之一的域颁发证书:没有CAA记录命名特定CA的CAA记录如果您的DNS区域文件当前包含CAA记录,但不包含您从中请求证书的CA的记录,并且如果该CA已实施CAA验证,则该CA无法为您的域颁发或续订证书。此外,如果记录查找失败在CA的基础结构之外,或者查找已重试至少一次,或者域的区域没有到ICANN根的DNSSEC验证链,则允许CA将记录查找失败视为发出许可。可以为整个域或特定主机名定义CAA记录。在前一种情况下,子域继承根域的CAA策略,云端抗ddos防御服务,除非被重写。CAA记录包括三个元素:标志、标记和值。规范表示:CAA标志是0-255之间的无符号整数。标记是一个ASCII字符串,表示由记录表示的属性的标识符。最后,该值与标记相关联,是表示CA名称的字符串。示例:CAA 0 issuewild"环球网"强制进行CAA检查2017年3月8日,CA/B论坛通过187号投票,强制进行CAA检查,自2017年9月8日起生效。这项动议由Mozilla提出,并得到谷歌的支持。批准投票要求所有证书颁发机构在颁发或更新证书之前检查CAA记录。共有22家证书颁发机构和浏览器供应商参加了投票。这项动议获得了100%的浏览器供应商和94%的证书颁发机构的支持。投票结果赞成反对弃权浏览器投票Mozilla、谷歌、苹果––CAs投票让我们来加密,Izenpe,Comodo,GoDaddy,HARICA,高防cdn推荐,内网ddos防御,GDCA,Trustwave,swissign,阿里ddos防御,Symantec,SHECA,CFCA,SSC,GlobalSign,防御ddos购买,Cisco,Bypass,DigiCert,Disig瑟蒂菲特奇米斯库斯Actalis公司这对Incapsula服务有何影响?如果您拥有Enterprise、Business或Pro帐户,则当您将新的SSL/TLS站点装载到Incapsula服务时,或者使用Incapsula生成的证书为现有站点启用SSL/TLS时,该服务将自动检查CAA合规性(有关我们定义为"CAA兼容"的详细信息,请参阅下一节),以确保证书的成功颁发。当您的证书接近其更新日期时,Incapsula将检查是否符合CAA并提前通知您,以便您有足够的时间进行更改(如果需要)。无论证书或SAN的过期日期如何,都会自动运行常规符合性检查。根据CAA更改,Imperva不会为不符合CAA的域颁发或续订证书或SAN值,因为它们不符合证书颁发机构的要求。我需要做什么?如果使用Incapsula生成的证书,为了符合CAA,请在DNS区域文件中为GlobalSign和Comodo Incapsula CA partners创建非通配符CAA记录。您可以使用此第三方工具生成CAA记录。Incapsula将检查您的站点,如果没有找到子域的CAA记录(根据RFC),则递归地爬升到根域。有关更多说明,请阅读我们的文档。另一个选择是保留您的DNS区域文件CAA记录,但我们建议配置这些记录。如果您决定创建这些记录,请务必同时创建这两个记录。要检查站点是否符合CAA,可以直接从管理控制台(site Settings>General>SSL Settings)测试站点,使用第三方工具或使用dig CAA工具运行查询:$digincapsula.com网站257型如果您使用自定义证书,即使Incapsula服务在本例中不会检查CAA记录,您的CA可能会实现检查(如果它们还没有)。因此,我们建议您使用CAA记录。什么是CA/浏览器论坛?证书颁发机构和浏览器论坛(又称CA/B论坛)是由证书颁发机构、浏览器供应商、操作系统供应商和其他相关应用程序供应商(如Microsoft、Apple、GlobalSign、Comodo、GoDaddy等)组成的联合体。论坛成立于2005年,目的是为证书颁发机构、浏览器和其他相关应用程序颁发和管理公共信任的SSL/TLS证书建立一个行业标准。这些标准由论坛定义为基线要求(BR)。作为这项工作的一部分,新的要求定期发布,然后由联合体成员批准。这些需求是CAs和浏览器的最低标准。资料来源:https://support.dnsimple.com/articles/caa-record/https://cabforum.org/2017/03/08/ballot-187-make-caa-checking-mandatory/https://cabforum.org/about-us/https://en.wikipedia.org/wiki/DNS_认证_授权https://tools.ietf.org

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/39233.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 5420169访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X