Ist es möglich, eine bestimmte TLS-CA (Zertifizierungsstelle) im Netzwerk zu blockieren? Beispielsweise alle von LetsEncrypt in meinem Netzwerk ausgestellten Zertifikate zu blockieren. Gibt es eine IP-Adresse oder einen Hostnamen zum Blockieren?
Antwort1
Sie können von einer Zertifizierungsstelle ausgestellte Zertifikate nicht blockieren, indem Sie bestimmte IP-Adressen oder Hostnamen in Ihrer Firewall blockieren.
Sobald ein Zertifikat ausgestellt wurde, müssen weder der Dienst, der das Zertifikat verwendet, noch der Client, der auf diesen Dienst zugreift, Kontakt mit der Zertifizierungsstelle aufnehmen, um das Zertifikat zur Sicherung der Kommunikation verwenden zu können.
(Das ist eine Vereinfachung: Um beispielsweise den Widerrufsstatus eines Zertifikats zu prüfen, muss man Kontakt mit der Zertifizierungsstelle aufnehmen, aber meines Wissens wird normalerweise davon ausgegangen, dass das Zertifikat gültig ist, wenn der Widerrufsstatus nicht geprüft werden kann.)
Antwort2
Wenn Sie die Ausstellung von LetsEncrypt (oder einer beliebigen CA) für Ihre Domäne blockieren möchten und Ihr eigenes DNS kontrollieren, veröffentlichen Sie einen CAA-Eintrag innerhalb Ihrer Domäne.
Wenn Sie also alle CAs blockieren möchten, können Sie einen Eintrag wie folgt hinzufügen:
example.com. IN CAA 0 issue ";"
Stellen Sie sich vor, ich habe einen Server mit 10 virtuellen VPS, auf dem ich alle Anfragen an letsencrypt blockieren möchte, um die Validierung von Zertifikaten zu verhindern.
Wenn Sie alle Webserver betreiben, können Sie die HTTP-01-Challenge blockieren, indem Sie Ihren Webserver so einstellen, dass der Zugriff auf /.well-known/acme-challenge/den Standort blockiert wird. Wenn Sie einen Reverse-Proxy oder Webfilter für eingehenden Datenverkehr eingerichtet haben, können Sie diese URLs auch dort blockieren.