Los subdominios robados son ahora un bien de moda en el mercado negro, ya que pueden usarse para ataques de phishing y pasan todas las pruebas que enseñamos a las personas a verificar para asegurarse de que no sea un sitio de phishing. Cuando creamos EZMonitor encontramos más de 30.000 subdominios alojados en Azure vulnerables a la adquisición. Una vez que vimos que los malos actores tomaban esos dominios para atacar a los consumidores, decidimos ocupar los dominios nosotros mismos mientras notificábamos a las empresas que eran vulnerables.
Durante la creación de estos sitios y divulgaciones hubo dos organizaciones que se destacaron: Legoland y FedEx. Estas dos organizaciones fueron las únicas entre miles que bloquearon con éxito EZMonitor para obtener un certificado SSL para su sitio. ¿Cómo lo hicieron? CAA Records, una solución sencilla que podría prevenir su próximo ataque de phishing.
Un registro de Autorización de autoridad de certificación (CAA) es un tipo de entrada DNS que permite limitar qué autoridades de certificación (CA) pueden crear certificados para su dominio. Las autoridades de certificación compatibles deben verificar si tienen permiso para emitir un certificado para su dominio y notificar a su contacto si alguien solicita un certificado de una CA no autorizada.
Si hay una CAA presente, solo se permiten certificados de las CA enumeradas. Sin embargo, los registros CAA no se abren, lo que significa que si no hay ningún registro CAA presente, cualquier CA puede crear certificados para el dominio.
Los registros CAA limitan la cantidad de autoridades certificadoras que pueden emitir certificados para su dominio únicamente a las CA con las que tiene una relación laboral y que probablemente no emitirán un certificado a otra persona. Si se implementan correctamente, los registros CAA brindarán a las CA información suficiente para comunicarse con su organización si un usuario no autorizado intenta emitir un certificado para su dominio, brindándole información sobre posibles ataques que mitigar.
Agregar Registros CAA es muy sencillo, lo único que tienes que hacer es agregar un registro DNS del tipo CAA para cada una de las CA que deben emitir certificados para tu dominio obtén los detalles completos en nuestra documentación.
Si bien agregar registros CAA es imprescindible para todas las organizaciones, no resuelve todos los problemas relacionados con SSL. Es por eso que el Departamento de Seguridad Nacional todavía exige que todas las agencias federales tengan un monitor de transparencia de certificados como EZMonitor.
Obtenga más información sobre su estado actual de SSL reservando un análisis de estado SSL con uno de nuestros expertos en SSL.