DNS Certification Authority Authorization (DNS CAA)是通过为域名添加一条DNS CAA记录,来限制特定CA为该域名签发证书的一种方法,从而实现防止攻击者使用其他CA错误签发的证书进行中间人攻击。
现在支持DNS CAA的DNS服务供应商还不多,但从2017年9月8日起,所有CA将被要求检查并遵守域的CAA记录,到那个时候DNS CAA应该会快速普及。另一方面,SSL Labs早在今年年初就开始检测DNS CAA记录,虽然暂时还没有影响到评级,但没有添加CAA记录的域名会被标记为橙色警告。
本站现在添加的CAA记录有两条,分别为
prinice.org. IN CAA 0 issue “letsencrypt.org” prinice.org. IN CAA 0 issue “comodoca.com”
也就是只允许Let’s Encrypt和COMODO两家CA为本域名签发证书。要了解更多DNS CAA的内容,可以参见本站另一篇文章:DNS Certification Authority Authorization (DNS CAA)简介和部署教程。
发表评论