CAA记录:控制谁能为你签发证书
**CAA(证书颁发机构授权)**记录是一条DNS条目,指定哪些证书颁发机构可以为你的域名签发证书。CA在签发前必须检查它,因此当攻击者试图从你不使用的CA获取证书时,能限制损害。
它长什么样
example.com. CAA 0 issue "letsencrypt.org"
example.com. CAA 0 issuewild "letsencrypt.org"
example.com. CAA 0 iodef "mailto:security@example.com"
| 标签 | 含义 |
|---|---|
issue |
允许签发普通证书的CA |
issuewild |
允许签发通配符证书的CA |
iodef |
违规尝试的报告地址 |
空的 issue ";" 表示任何CA都不得签发。多条 issue 记录可允许多个CA。
为什么要设置
CAA是纵深防御:即便其他验证被绕过,合规的CA也会拒绝为未列出的域名签发。它只是一条DNS记录,维护成本为零。
在DNS托管商处添加CAA记录,然后用本站 SSL/TLS检测 确认在线证书和证书链。查看DNS记录请用 DNS查询。相关:证书链。
备注: CAA由CA在签发时检查,而非浏览器在连接时检查。它是对DNSSEC和CA账户安全的补充,而非替代。