现在的小伙伴的网站基本都上了SSL证书,但是有时候总会遇到SSL证书出错的情况,比如SSL错误,办法出错了,然后被浏览器识别出问题,其实可以在域名里设置CAA记录防止错误签发SSL证书。之前搬主题就介绍过【让网站支持DNS CAA设置图文教程 提升WordPress网站安全防护】,这里搬主题再分享一下具体的设置图文教程。
什么是CAA?
CAA(Certification Authority Authorization,证书颁发机构授权)是一项降低 SSL 证书错误颁发的控制措施,由互联网工程任务组(IETF)批准列为 IETF RFC6844 规范。2017年3月,CA 浏览器(CA/Browser Forum)论坛投票通过187号提案,要求 CA 机构从2017年9月8日起执行 CAA 强制性检查。
CAA的作用?
域名所有者通过设置 CAA 解析记录来授权指定的 CA 机构为其颁发 SSL 证书,同时 CA 机构根据规范要求,在颁发 SSL 证书时会强制性检查域名 CAA 记录,如果检查发现未获得授权,将拒绝为该域名颁发 SSL 证书,从而防止未授权的 SSL 证书错误颁发,规避安全风险。如果域名所有者没有为其域名设置 CAA 记录,那么任何 CA 机构都可以为其域名颁发证书。
为什么要设置CAA?
据权威部门统计,全球约有上百个证书颁发机构(CA)有权发放 SSL 证书,以证明您网站的身份,但是证书颁发机构由于某些原因,往往会被浏览器列入 “黑名单”,并被公开宣布将不再信任其签发的 SSL 证书。由于任何 CA 都可以为任何域名颁发证书,这使得 PKI 生态系统较为脆弱。因此,当您的网站部署了不被浏览器信任的证书颁发机构所颁发的证书,用户访问时,部分浏览器将提示 “HTTPS 证书不受信任”,影响您的业务正常使用。如下图所示:
因此,为避免您不被错误的颁发证书,建议您为域名设置授信的 CAA 记录,若您需指定仅支持腾讯云 SSL 证书为其颁发,腾讯云不同品牌 CAA 记录值以下:
| 证书品牌 | 记录值 | |
|---|---|---|
| SecureSite | 0 issue “digicert.com” | 0 issuewild “digicert.com” |
| GeoTrust | 0 issue “digicert.com” | 0 issuewild “digicert.com” |
| TrustAsia | 0 issue “trust-provider.com” | 0 issuewild “trust-provider.com” |
| GlobalSign | 0 issue “globalsign.com” | 0 issuewild “globalsign.com” |
| WoTrus | 0 issue “wotrus.com” | 0 issuewild ” wotrus.com” |
| DNSPod(国密标准(SM2)) | 0 issue “wotrus.com” | 0 issuewild ” wotrus.com” |
说明:
0 issue表示只有该 CA 机构可以为特定域名颁发证书,
0 issuewild表示只有该 CA 机构可以为特定域名颁发通配符证书。
CAA 记录格式说明
CAA 记录的格式为:
[flag] [tag] [value],是由一个标志字节的
[flag]和一个被称为属性的
[tag]-[value](标签-值)对组成。您可以将多个 CAA 字段添加到域名的 DNS 解析记录中。
| 字段 | 说明 |
|---|---|
| flag | 可填写0或128,用于标志认证机构。通常情况下填0,表示如果颁发证书机构无法识别本条信息,就忽略。 |
| tag | 支持 issue、issuewild 和 iodef。 |
| issue:CA 授权单个证书颁发机构发布的任何类型域名证书。 | |
| issuewild:CA 授权单个证书颁发机构发布主机名的通配符证书。 | |
| iodef:CA 可以将违规的颁发记录 URL 发送给某个电子邮箱。 | |
| value | CA 的域名或用于违规通知的电子邮箱。 |
添加 CAA 记录
说明:
以腾讯云免费证书为例,为域名添加对应 issue 和 issuewild 记录。
- 登录 DNSPod 管理控制台。
- 在 “我的域名” 中,选择并单击需要添加 CAA 记录的域名,进入该域名的 DNS 解析记录管理页面。如下图所示:
- 单击添加记录,填写以下记录信息。如下图所示
- 主机记录:填写子域名。例如为 www.dnspod.cn 添加 CAA 记录,您在 “主机记录” 处填写“www” 即可。如果想添加 dnspod.cn 的 CAA 记录,您在 “主机记录” 处选择 “@” 即可。
- 记录类型:选择 “CAA”。
- 线路类型:选择 “默认” 类型,否则会导致部分 CA 机构无法进行认证。
- 记录值:分别 填写 0 issue “sectigo.com”与 0 issuewild “sectigo.com”。
- 权重:不填写,可忽略。
- MX 优先级:不填写,可忽略。
- TTL:缓存的生存时间,默认600秒。
- 单击【确定】,完成添加。
检查 CAA 记录
可通过以下两种方式检查已添加的 CAA 记录:
dig 命令
dig 域名名称 CAA返回值为空或包含 0 issuewild “sectigo.com” 和 0 issue “sectigo.com”即为正常。如下图所示:
DNS 诊断工具
前往 DNS 诊断工具,输入主域名并选择 CAA 记录后点击检测,返回值为空或包含 0 issuewild “sectigo.com” 和 0 issue “sectigo.com” 即为正常。如下图所示:
说明:
若出现检测失败或只有部分地区可以正常检测的情况,请检查域名 DNS 解析设置。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容