ネットワーク上の特定の TLS CA (証明機関) をブロックすることは可能ですか? たとえば、自分のネットワーク上で letsencrypt によって発行されたすべての証明書をブロックする場合、ブロックする IP またはホスト名はありますか?
答え1
ファイアウォールで特定の IP アドレスまたはホスト名をブロックしても、CA によって発行された証明書をブロックすることはできません。
証明書が発行されると、証明書を使用するサービスも、そのサービスにアクセスするクライアントも、証明書を使用して通信を保護するために CA に連絡する必要がなくなります。
(これは単純化した説明です。たとえば、証明書の失効ステータスを確認するには CA との連絡が必要ですが、私の知る限り、失効ステータスを確認できない場合は通常、証明書は有効であると見なされます。)
答え2
自分のドメインに対してletsencrypt(または任意のCA)の発行をブロックし、独自のDNSを制御する場合は、ドメイン内でCAAレコードを公開します。
したがって、すべてのCAをブロックしたい場合は、次のようなレコードを追加できます。
example.com. IN CAA 0 issue ";"
10個の仮想VPSが稼働しているサーバーがあるとします。証明書の検証を防ぐために、letsencryptへのリクエストをすべてブロックしたいとします。
すべての Web サーバーを実行している場合は、Web サーバーを調整して場所へのアクセスをブロックすることで、HTTP-01 チャレンジをブロックできます/.well-known/acme-challenge/。着信トラフィックにリバース プロキシまたは Web フィルターが設定されている場合は、そこでこれらの URL をブロックすることもできます。