Netskope Global Technical Success (GTS)
KB - Impacto del registro DNS CAA en el Proxy de Interceptación de Netskope
Netskope Cloud Version - 122
Objectivo
Evaluar el impacto del registro DNS CAA en el Proxy de Interceptación de Netskope
Contexto
Los registros DNS CAA se utilizan para especificar qué Autoridades Certificadoras (CAs) tienen permiso para emitir certificados SSL/TLS para su dominio. Es una característica de seguridad para evitar que CAs no autorizadas emitan certificados para su dominio. Esto está más relacionado con la propiedad del dominio y asegura que solo las CAs confiables emitan certificados.
Al utilizar el Proxy de Interceptación SSL de Netskope, Netskope actúa como intermediario entre el cliente y el servidor, desencriptando el tráfico SSL/TLS y luego volviéndolo a encriptar antes de enviarlo al destino. Para lograr esto, Netskope instala su propio certificado en el cliente para establecer la conexión encriptada. Este proceso suele generar preguntas de los clientes sobre si el Certificado CA de Netskope debe ser autorizado para sus propios sitios web a través de registros CAA, o cómo Netskope manejará los sitios web que tienen registros CAA establecidos.
Conclusión
El registro DNS CAA solo influye en la emisión de certificados para su dominio. Dado que Netskope intercepta el tráfico SSL utilizando su propio certificado, este comportamiento no se ve directamente afectado por la entrada CAA en su DNS.
Además, la interceptación SSL depende de la capacidad de Netskope para presentar su propio certificado. La única manera en que podrían surgir problemas con este certificado es si el certificado de Netskope fue emitido por una CA no confiable o si el certificado de la CA en sí es no confiable para el cliente. Esto es una preocupación separada de los registros CAA.
Por lo tanto, la entrada CAA no impide la interceptación SSL por proxies como Netskope, siempre y cuando el proxy esté utilizando su propia CA para la interceptación.
Demostración
Con fines de prueba, se ha creado el sitio web marand.homes. Este sitio está alojado en GoDaddy, y se ha agregado un registro CAA para permitir que los certificados para el dominio sean emitidos exclusivamente por la CA de GoDaddy.
Al utilizar una herramienta de consulta CAA (https://www.entrust.com/es/resources/tools/caa-lookup), se confirmó que el registro CAA se agregó correctamente.
El sitio web marand.homes fue accedido desde un dispositivo con el cliente Netskope instalado y habilitado. Como se muestra a continuación, la interceptación fue exitosa, a pesar de la presencia del registro CAA.
Términos y Condiciones
- Toda la información documentada pasa por un proceso de pruebas y verificación para asegurar su precisión.
- Es posible que, en el futuro, el proveedor realice cambios en la funcionalidad de la aplicación. Si se nos informa de tales modificaciones, actualizaremos la documentación de inmediato para reflejarlas.
- Tenga en cuenta que el sitio web creado para este KB fue diseñado con fines de prueba y podría volverse inaccesible en cualquier momento si se intenta acceder a él.
Notas
- Este artículo ha sido redactado por Netskope Global Technical Success (GTS).
- Para cualquier consulta adicional relacionada con este artículo, comuníquese con Netskope GTS mediante la presentación de un caso de soporte con el tipo de caso "Preguntas sobre cómo hacerlo".
