jomoNov 5

I wrote about recommendations for CAA records and how the "accounturi" feature can protect you from some attacks.

It explains how CAA works, but also has some practical advice such as finding your account URI, working in staging/dry runs, working with or without wildcard certificates, and some others.

https://jomo.tv/caa-records-accounturi

#caa #letsencrypt #accounturi #tls #acme

CAA records and "accounturi" recommendations

DNS CAA records with "accounturi" allow limiting TLS certificate renewal to a single account. This post has some recommendations.

Digital Naïve
Habr 25+Jun 15, 2025

Дыра в щите Cloudflare: как атака на Jabber.ru вскрыла проблему, о которой молчат c 2023

Многие помнят позапрошлогодний инцидент с Man-in-the-Middle атакой на XMPP-сервис jabber.ru . Эта история наделала много шума, но, как мне кажется, главный вывод из неё так и не был усвоен широкой аудиторией. А зря. Потому что эта атака вскрыла системную уязвимость в процессе выдачи TLS сертификатов, которая напрямую касается миллионов сайтов, особенно тех, кто доверяет свою безопасность Cloudflare. В этой статье я расскажу вам о самой уязвимости и как вы можете быть ей подвержены. В кроличью нору

https://habr.com/ru/articles/918570/

#Cloudflare #dns #caa #RFC_8657 #mitm #lets_encrypt #уязвимости #безопасность #acme #accounturi

Дыра в щите Cloudflare: как атака на Jabber.ru вскрыла проблему, о которой молчат c 2023

Когда думаешь, что под надёжной защитой, но дьявол, как всегда, в деталях Думаю, многие помнят позапрошлогодний инцидент с Man-in-the-Middle атакой на XMPP-сервис jabber.ru . Эта история наделала...

Хабр
HabrJun 15, 2025

Дыра в щите Cloudflare: как атака на Jabber.ru вскрыла проблему, о которой молчат c 2023

Многие помнят позапрошлогодний инцидент с Man-in-the-Middle атакой на XMPP-сервис jabber.ru . Эта история наделала много шума, но, как мне кажется, главный вывод из неё так и не был усвоен широкой аудиторией. А зря. Потому что эта атака вскрыла системную уязвимость в процессе выдачи TLS сертификатов, которая напрямую касается миллионов сайтов, особенно тех, кто доверяет свою безопасность Cloudflare. В этой статье я расскажу вам о самой уязвимости и как вы можете быть ей подвержены. В кроличью нору

https://habr.com/ru/articles/918570/

#Cloudflare #dns #caa #RFC_8657 #mitm #lets_encrypt #уязвимости #безопасность #acme #accounturi

Дыра в щите Cloudflare: как атака на Jabber.ru вскрыла проблему, о которой молчат c 2023

Когда думаешь, что под надёжной защитой, но дьявол, как всегда, в деталях Думаю, многие помнят позапрошлогодний инцидент с Man-in-the-Middle атакой на XMPP-сервис jabber.ru . Эта история наделала...

Хабр
Pentagrid AGJun 10, 2024
If you want to protect your IT #infrastructure against #MITM attacks where an attacker bypasses domain verification to obtain valid certificates, you may want to use #CAA and #accountURI binding, which is easy to set up. https://www.pentagrid.ch/en/blog/domain-verification-bypass-prevention-caa-accounturi/ #hardening
How to prevent domain verification bypasses of your server certificate

Description of the CAA accounturi binding to mitigate or prevent domain verification bypasses and monitoring approaches like certificate transparency log analysis.

Pentagrid AG
Sami LehtinenOct 21, 2023
Hardened my domains #DNS / #TLS / #CAA by adding #RFC8657 #accounturi and #validationmethod fields. And specifying those per subdomain where necessary, further restricting certificate issuance.
Akkoma

GrapheneOSDec 17, 2022

Normally, WebPKI certificates lack a secure issuance process and an attacker able to MITM unauthenticated HTTP(S) can obtain one.

GrapheneOS uses the CAA accounturi feature to securely pin our Let's Encrypt account keys for each of our servers for secure certificate issuance.

#grapheneos #privacy #security #webpki #letsencrypt #accounturi