网站导航:首页-计算机网络知识-CAA记录相关知识

CAA记录相关知识

最近更新:2019-02-18

关于CAA

目前全球有100多个证书颁发机构(CA)颁发的SSL证书被主流操作系统/浏览器所信任,但通常我们可能只会从少数证书颁发机构获得证书。证书颁发机构授权(CAA)允许声明您实际使用的证书颁发机构,禁止其他人为您的域名颁发证书。

我们可以利用CAA来达到如下目的:

配置CAA很容易,您可以在编辑好CAA记录后,在域名的DNS中发布。这需要您的域名使用支持CAA的DNS服务器来解析。

CAA是由RFC6844定义的IETF标准。截至2017年9月8日,所有公共证书机构都必须遵守CAA记录。在为一个域名颁发证书之前,必须检查该域名是否有CAA记录,如果CAA记录没有授权,则拒绝颁发。(如果没有CAA记录,则允许发布。)


CAA和子域名

如果某域名的子域没有自己的CAA记录时,这个域名的CAA记录也适用于它的所有子域。如果子域有自己的CAA记录,则优先使用子域自己的CAA记录。

例如,在证书颁发机构为www.rivalsa.cn颁发证书之前,它将按以下顺序查询CAA记录,并使用找到的第一个记录:

  1. www.rivalsa.cn
  2. rivalsa.cn

CAA和CNAME

如果一个域名是另一个域的CNAME(也称为别名),则证书颁发机构还会在CNAME目标以及目标的所有父域中查找CAA记录。如果找不到CAA记录,证书颁发机构将继续搜索原始域名的父域。

例如,如果www.example.com是的blog.e.net的CNAME,则证书颁发机构按以下顺序查找CAA记录:

  1. blog.e.net
  2. e.net
  3. example.com

CAA的局限性

无论如何配置CAA,流氓或完全被破坏的证书颁发机构都可以为域名颁发证书。另外,一个强大的攻击者可以欺骗DNS记录,使证书颁发机构认为它是被授权的。

然而,在实践中,CAA将保护域所有者免受证书颁发机构中出现的许多安全漏洞的影响。发布CAA政策是一项非常明智的安全措施,尽管有其局限性。

为了增加保护,可以使用证书透明度监视器(如cert spotter)提醒您是否颁发了违反CAA策略的证书。

到底线啦,请:返回目录页|返回首页