域名如何解析CAA记录

这篇文章主要讲解了“域名如何解析CAA记录”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“域名如何解析CAA记录”吧!

创新互联公司基于分布式IDC数据中心构建的平台为众多户提供服务器托管 四川大带宽租用 成都机柜租用 成都服务器租用。

背景

据权威部门统计,全球约有上百个证书颁发机构(CA)有权发放HTTPS证书,以证明您网站的身份。但是证书颁发机构由于某些原因,往往会被浏览器列入”黑名单” ,并被公开宣布将不再信任其签发的HTTPS证书。所以当你访问到部署了这些证书的网站时,部分浏览器比如谷歌、火狐会提示”HTTPS证书不受信任”,浏览器地址栏的HTTPS也会被划上一条小红线,网页不能访问,如下图所示。

域名如何解析CAA记录

CAA(Certification Authority Authorization,即证书颁发机构授权)是一项防止HTTPS证书错误签发的安全措施,于2013年1月通过互联网工程任务组(IETF)批准,被列为RFC6844。2017年3月,CA浏览器论坛投票通过187号提案,要求CA机构从2017年9月8日起执行CAA强制性检查。

CAA标准使得网站所有者,仅授权指定CA机构为自己的域名颁发证书,以防止HTTPS证书错误签发。目前,阿里云云解析DNS作为国内最大的权威DNS服务商,已率先支持CAA记录类型。

CAA记录格式

CAA记录的格式为:[flag] [tag] [value],是由一个标志字节的[flag]和一个被称为属性的[tag]-[value](标签-值)对组成。您可以将多个CAA字段添加到域名的DNS记录中。

字段说明
flag0-255之间的无符号整数,用于标志认证机构。通常情况下填0,表示如果颁发证书机构无法识别本条信息,就忽略。
tag支持 issue、issuewild 和 iodef。
  • issue:CA授权单个证书颁发机构发布的任何类型域名证书。

  • issuewild:CA授权单个证书颁发机构发布主机名的通配符证书。

  • iodef:CA可以将违规的颁发记录URL发送给某个电子邮箱。

valueCA的域名或用于违规通知的电子邮箱。

添加CAA记录

假设,您想要只允许由 comodoca.com 来颁发域名 gworg.com 的证书,并且发送违规通知到邮箱 admin@gworg.com。您可以按照以下方式来配置CAA记录。

  1. 登录到阿里云云解析控制台或者您的域名提供商(部分域名提供商不支持CAA解析)

  2. 单击目标域名操作列下的解析设置。

  3. 添加如下两条解析记录。

    主机记录记录值
    @0 issue "comodoca.com"
    @0 iodef "mailto:admin@gworg.com"

域名如何解析CAA记录

检测CAA记录

您可以使用dig 域名 记录类型命令来查询CAA记录解析情况。测试样例和返回结果如下所示。

sh-3.2#digmidengd.xyzcaa
;<<>>DiG9.10.5rc1<<>>midengd.xyzcaa
;;globaloptions:+cmd
;;Gotanswer:
;;->>HEADER<<-opcode:QUERY,status:NOERROR,id:26714
;;flags:qrrdra;QUERY:1,ANSWER:2,AUTHORITY:0,ADDITIONAL:1
;;OPTPSEUDOSECTION:
;EDNS:version:0,flags:;udp:4000
;;QUESTIONSECTION:
;midengd.xyz.INCAA
;;ANSWERSECTION:
midengd.xyz.600INCAA0iodef"mailto:admin@midengd.xyz"
midengd.xyz.600INCAA0issue"symantec.com"
;;Querytime:577msec
;;SERVER:30.26.8.5#53(30.26.8.5)
;;WHEN:TueDec0518:55:48CST2017
;;MSGSIZErcvd:114

感谢各位的阅读,以上就是“域名如何解析CAA记录”的内容了,经过本文的学习后,相信大家对域名如何解析CAA记录这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是创新互联,小编将为大家推送更多相关知识点的文章,欢迎关注!


网站标题:域名如何解析CAA记录
分享URL:http://scyanting.com/article/pedpeo.html