帝恩思DNS.COM,DNS综合服务提供商

DNS.COM解析平台怎么添加CAA记录?

最近更新时间:2020-05-26 16:31:08

为您的域名设置CAA记录,是提高网站安全性的一个有效方法。本文介绍了CAA标准产生的背景,以及使用云解析DNS来设置并验证CAA记录的方法。

背景

CAA记录介绍

CAA,全称Certificate Authority Authorization,即证书颁发机构授权。它为了改善PKI(Public Key Infrastructure:公钥基础设施)生态系统强度、减少证书意外错误发布的风险,通过DNS机制创建CAA资源记录,从而限定了特定域名颁发的证书和CA(证书颁发机构)之间的联系。从此,再也不能是任意CA都可以为任意域名颁发证书了。关于CAA记录,其实早在4年前便在RFC 6844中有定义,但由于种种原因配置该DNS资源记录的网站寥寥无几。如今,SSL证书在颁发之前对域名强制CAA检查,就对想要https访问的网站域名提出了解析配置的要求。

CAA记录详解

CAA记录可以控制单域名SSL证书的发行,也可以控制通配符SSL证书。当域名存在CAA记录时,则只允许在记录中列出的CA颁发针对该域名(或子域名)的证书。

CAA记录格式

CAA记录的格式为:[flag] [tag] [value],是由一个标志字节的[flag]和一个被称为属性的[tag]-[value](标签-值)对组成。您可以将多个CAA字段添加到域名的DNS记录中。

字段说明
flag0-255之间的无符号整数,用于标志认证机构。通常情况下填0,表示如果颁发证书机构无法识别本条信息,就忽略。
tag支持 issue、issuewild 和 iodef。
  • issue:CA授权单个证书颁发机构发布的 任何类型 域名证书

  • issuewild:CA授权单个证书颁发机构发布主机名的 通配符 证书。

  • iodef:CA可以将违规的颁发记录URL发送给某个电子邮箱。

valueCA的域名或用于违规通知的电子邮箱。

添加CAA记录

假设,您想要只允许由 symantec.com 来颁发域名 midengd.xyz 的证书,并且发送违规通知到邮箱 admin@midengd.xyz。

您可以按照以下方式来配置CAA记录。


CAA记录值常见几种格式:

0 issue letsencrypt.org 
0 issuewild 
comodoca.com 
0 iodef 
mailto:example@example.com