CAA是一种安全措施,允许域名所有者在其域名服务器(DNS)中指定哪些CA有权为该域名颁发证书。如果CA收到具有CAA记录的域名证书订单,并且CA未被列为授权发行人,则禁止他们向该域或任何子域颁发证书。
CAA的好处
CAA的好处之一是补充证书透明度(CT)。CT提供机制,帮助域名所有者识别发行后错误签发或经常颁发的域名证书,而CAA可以帮助防止在事实发生之前未经授权的签发。他们一起建立一套比任何一个更好的安全。
CAA还可以帮助已标准化或想要标准化或限制其使用的CA的组织。在CAA之前,组织执行此类策略的方法并不简单,但现在所有CA必须检查CAA记录,这些策略实际上可以由CAS执行。
实施CAA
虽然检查CAA记录是CAs的必修课,但使用CAA对域名所有者来说是可选的。您可以自行决定是否要实施,如果您决定实施,您可以在需要时指定多个CA(请参阅此博客稍后的警告说明)。
以下是CA的处理规则:
无CAA记录:CA可以发布。
CAA记录包括CA:CA可以发布。
CAA记录,但不包括CA:CA不能发布。
CAA支持以下属性:
发行:允许Cas签发证书(包括通配符证书,除非受到发行野生的限制)
发行野生:允许CA签发通配符证书,但不允许签发非通配符证书。
下面是CAA代码的示例,如果您想要授权ert7为example.com签发证书,您将在DNS区域文件中添加:
CAA0发行”ert7.com”
请记住,CAA检查从完整的FQDN开始,并处理到基本域,因此在验证www.a.domain.com的FQDN时,CA将检查:
www.a.domain.com,然后
a.domain.com,然后
domain.com
有关如何添加CAA记录(包括托管DNS的步骤)的详细说明,请参阅我们的相关支持文章。
关于CNAMES
注意事项:根据RFC1912,CNAME记录不允许与任何其他数据共存。在查找CAA记录时,我们将遵循FQDN的上述规则,然后向上走链条,但如果我们遇到CNAME记录,我们将忽略该域的DNSTXT和CAA记录。我们将在CNAME指向的域名上查找CAA记录,而不是在所提供的域名上查找CAA记录。
更新CAA时要谨慎
在创建CAA记录时,请务必谨慎使用。如果您有其他部门获得证书,您需要协调,以确保所有在使用的CA将被添加到您的CAA记录中。由于CAA检查是强制性的,并且导致CA无法覆盖的订单被拒绝,因此DNS管理员不要关闭公司非常重要!此外,如果您使用服务提供商来处理任何托管解决方案,他们可能会使用与您没有直接关系的CA保护这些服务器,因此请小心。
