CAA(认证授权机构,Certification Authority Authorization)是一种DNS记录,于2017年推出,旨在允许或禁止特定的认证机构为域名颁发SSL证书。在颁发证书之前,认证机构会查询并检查域名DNS设置中的相关记录。
如果攻击者在短时间内获得了您的域名访问权限,他们可能会尝试为您的域名颁发证书,从而拦截数据。根据配置,CAA记录的存在会大大增加这种操作的难度,甚至完全禁止这种操作。
虚拟主机服务和DNS托管服务支持此类记录,您可以根据需要添加它们。
记录格式:
CAA <flags> <tag> <value>
1. 示例。禁止所有认证机构颁发证书
domain.tld. IN CAA 0 issue ";"
2. 示例。仅允许特定认证机构颁发证书,禁止其他机构
domain.tld. IN CAA 0 issue "comodoca.com"
domain.tld. IN CAA 0 issue "letsencrypt.org"
domain.tld. IN CAA 0 issuewild ";"
您可以使用便捷的CAA记录生成服务在线生成记录。
暂时没有评论