Image

知识库 → CAA DNS 记录、应用和配置

[虚拟服务器] [共享主机]
出版日期: 29.09.2024

CAA(认证授权机构,Certification Authority Authorization)是一种DNS记录,于2017年推出,旨在允许或禁止特定的认证机构为域名颁发SSL证书。在颁发证书之前,认证机构会查询并检查域名DNS设置中的相关记录。

如果攻击者在短时间内获得了您的域名访问权限,他们可能会尝试为您的域名颁发证书,从而拦截数据。根据配置,CAA记录的存在会大大增加这种操作的难度,甚至完全禁止这种操作。

虚拟主机服务和DNS托管服务支持此类记录,您可以根据需要添加它们。

记录格式:

CAA <flags> <tag> <value>

1. 示例。禁止所有认证机构颁发证书

domain.tld.	IN	CAA	0 issue ";"

2. 示例。仅允许特定认证机构颁发证书,禁止其他机构

domain.tld.	IN	CAA	0 issue "comodoca.com"
domain.tld.	IN	CAA	0 issue "letsencrypt.org"
domain.tld.	IN	CAA	0 issuewild ";"

您可以使用便捷的CAA记录生成服务在线生成记录。





暂时没有评论