DNS.COM解析平台怎么添加CAA记录?
最近更新时间:2020-05-26 16:31:08
为您的域名设置CAA记录,是提高网站安全性的一个有效方法。本文介绍了CAA标准产生的背景,以及使用云解析DNS来设置并验证CAA记录的方法。
背景
CAA记录介绍
CAA,全称Certificate Authority Authorization,即证书颁发机构授权。它为了改善PKI(Public Key Infrastructure:公钥基础设施)生态系统强度、减少证书意外错误发布的风险,通过DNS机制创建CAA资源记录,从而限定了特定域名颁发的证书和CA(证书颁发机构)之间的联系。从此,再也不能是任意CA都可以为任意域名颁发证书了。关于CAA记录,其实早在4年前便在RFC 6844中有定义,但由于种种原因配置该DNS资源记录的网站寥寥无几。如今,SSL证书在颁发之前对域名强制CAA检查,就对想要https访问的网站域名提出了解析配置的要求。
CAA记录详解
CAA记录可以控制单域名SSL证书的发行,也可以控制通配符SSL证书。当域名存在CAA记录时,则只允许在记录中列出的CA颁发针对该域名(或子域名)的证书。
CAA记录格式
CAA记录的格式为:[flag] [tag] [value]
,是由一个标志字节的[flag]
和一个被称为属性的[tag]
-[value]
(标签-值)对组成。您可以将多个CAA字段添加到域名的DNS记录中。
字段 | 说明 |
---|---|
flag | 0-255之间的无符号整数,用于标志认证机构。通常情况下填0,表示如果颁发证书机构无法识别本条信息,就忽略。 |
tag | 支持 issue、issuewild 和 iodef。
|
value | CA的域名或用于违规通知的电子邮箱。 |
添加CAA记录
假设,您想要只允许由 symantec.com 来颁发域名 midengd.xyz 的证书,并且发送违规通知到邮箱 admin@midengd.xyz。
您可以按照以下方式来配置CAA记录。
CAA记录值常见几种格式:
0 issue letsencrypt.org
0 issuewild comodoca.com
0 iodef mailto:example@example.com