IDC知識(shí)庫
IDC領(lǐng)域?qū)I(yè)知識(shí)百科平臺(tái)

域名解析類型支持CAA類型

CAA類型是域名SSL證書的一種認(rèn)證說明,有這個(gè)解析類型,標(biāo)明此域名的SSL證書只允許某個(gè)指定的SSL頒發(fā)機(jī)構(gòu)頒發(fā)的證書才是合法的證書。

CAA記錄可以控制單域名SSL證書的發(fā)行,也可以控制通配符證書。當(dāng)域名存在CAA記錄時(shí),則只允許在記錄中列出的CA頒發(fā)針對該域名(或子域名)的證書。

在域名解析配置中,咱們可以為整個(gè)域(如example.com)或者特定的子域(如subzone.example.com)設(shè)置CAA策略。當(dāng)為整域設(shè)置CAA資源記錄時(shí),該CAA策略將同時(shí)應(yīng)用于該域名下的任一子域,除非被已設(shè)置的子域策略覆蓋。

其目的是為了防止某些證書頒發(fā)機(jī)構(gòu)錯(cuò)誤發(fā)放證書導(dǎo)致的域名中間人信息攻擊 在瀏覽器訪問https的網(wǎng)址時(shí),瀏覽器默認(rèn)會(huì)去查詢域名對應(yīng)的CAA記錄,查到的記錄如果和HTTPS反饋的證書頒發(fā)結(jié)構(gòu)出現(xiàn)沖突就會(huì)阻止這一次的訪問,保護(hù)域名訪問者信息安全。若沒有記錄或記錄指定為任意結(jié)構(gòu)都可以 則只要證書有效期內(nèi)都正常訪問。

解析方式為:

主機(jī)頭? ? ?類型? ? ?優(yōu)先級? ?TTL? ? 解析值

@? ? ? ? ? ? CAA? ? ? 默認(rèn)? ? ? 默認(rèn)? ?<?flags?>?<?tag?>?<?value?>

格式說明:

  • flag:認(rèn)證機(jī)構(gòu)限制標(biāo)志,取值0或128;
  • tag: 證書屬性標(biāo)簽,取值:issue(CA授權(quán)任何類型的域名證書),issuewild(CA授權(quán)通配符域名證書),iodef(指定CA可報(bào)告策略違規(guī))。
  • value:證書頒發(fā)機(jī)構(gòu)域名、策略違規(guī)報(bào)告郵件地址等信息;

flags:? ? 0或128

tag:????issue 或?issuewild 或?iodef

CA授權(quán)任何類型的域名證書(Authorization Entry by Domain) : issue

CA授權(quán)通配符域名證書(Authorization Entry by Wildcard Domain) : issuewild

指定CA可報(bào)告策略違規(guī)(Report incident by IODEF report) : iodef

value:????不包含| “” \< >中文字符的字符串

舉例:

  • 0 issue “ca.example.net”
  • 0 issuewild “example.com”
  • 0 iodef “mailto:admin@example.com”
贊(7)
分享到: 更多 (0)

中國專業(yè)的網(wǎng)站域名及網(wǎng)站空間提供商

買域名買空間