Multi Perspective Issuance Corroboration (MPIC): Verteilte Validierung zur Absicherung von DNS- und CAA-Checks
Multi Perspective Issuance Corroboration (MPIC) erhöht die Sicherheit von DNS- und CAA-Validierungen durch die Durchführung von Überprüfungen aus mehreren geografisch verteilten Standorten. Dieser Ansatz mindert das Risiko von BGP-basierten Angriffen, indem sichergestellt wird, dass die Validierungsergebnisse in allen Regionen konsistent sind. SwissPKI unterstützt MPIC mit konfigurierbaren Regeln, entfernten Perspektiven und regionalen Gruppierungen für eine sichere Zertifikatsausstellung.
Multi Perspective Issuance Corroboration wurde vom CA/Browser-Forum eingeführt, um Angriffe auf das Border Gateway Protocol (BGP) abzuwehren. Solche Angriffe können genutzt werden, um Anfragen für CAA- und Domain-Inhaberkontrollen auf die eigene Infrastruktur umzuleiten und so vorzutäuschen, eine Domain zu kontrollieren.
MPIC begegnet solchen Angriffen, indem CAA- und Domain-Inhaberkontrollen gleichzeitig aus mehreren geografisch unterschiedlichen Regionen durchgeführt werden. Wenn die Ergebnisse aus den Regionen vom Ergebnis der Zertifizierungsstelle (CA) abweichen, deutet dies auf einen möglichen Angriff hin, der bei der Ausstellung des Zertifikats berücksichtigt werden muss. SwissPKI unterstützt MPIC, wobei die Konfiguration aus den folgenden drei Kernelementen besteht:
-
MPIC-Regeln – zur Steuerung der Regeln, unter denen MPIC agiert.
-
Entfernte Perspektiven – zur Registrierung und Verwaltung der extern bereitgestellten Perspektivendienste.
-
Regionen – eine Möglichkeit, die in derselben Region bereitgestellten entfernten Perspektiven zu gruppieren und sie unter den gleichen Bedingungen durch die MPIC-Regeln zu behandeln.
Mit der Einführung der Multi Perspective Issuance Corroboration (MPIC) werden DNS- und CAA-Validierungen über mehrere unabhängige entfernte Perspektiven durchgeführt.
Zur Verwaltung und Orchestrierung dieser verteilten Prüfausführung stützt sich der Prozessablauf der Zertifizierungsstelle auf die Konfiguration und Bereitstellung der folgenden Elemente:
MPIC-Register
Verwaltung der einzelnen entfernten Perspektiven für verteilte Validierungsanfragen.
MPIC-Regeln
Manage rules for the minimum number of remote perspectives, the required quorum and how strictly the results must be taken into account.
MPIC-Orchestrierung
Bearbeitet die Domain-Validierung oder CAA-Überprüfung durch entfernte Perspektiven, sodass eingehende Ergebnisse validiert werden, um sicherzustellen, dass das erforderliche Quorum erreicht wird. Die Orchestrierung sorgt für die wiederholte Verteilung und Validierung der Ergebnisse, bis eine Prüfung als abgeschlossen gilt.
Liveness Checker
Überprüft die Verfügbarkeit und Reaktionsfähigkeit der einzelnen entfernten Perspektiven. Fehlgeschlagene Knoten werden möglicherweise nicht mehr mit Prüfaufgaben bedient, und das System muss wissen, ob noch ausreichend Knoten verfügbar sind. Der Liveness Checker prüft in festgelegten Intervallen, ob alle bekannten Knoten funktionsfähig sind. Der Status der einzelnen Knoten wird ebenfalls an das MPIC-Register zurückgemeldet, um die Konformität mit den aktuellen Regeln zu überprüfen und gegebenenfalls Warnungen auszulösen.