- 工信部備案號 滇ICP備05000110號-1
- 滇公安備案 滇53010302000111
- 增值電信業(yè)務(wù)經(jīng)營(yíng)許可證 B1.B2-20181647、滇B1.B2-20190004
- 云南互聯(lián)網(wǎng)協(xié)會(huì )理事單位
- 安全聯(lián)盟認證網(wǎng)站身份V標記
- 域名注冊服務(wù)機構許可:滇D3-20230001
- 代理域名注冊服務(wù)機構:新網(wǎng)數碼
2017年3月7日,CA|B Forum (一個(gè)全球證書(shū)頒發(fā)機構與瀏覽器的技術(shù)論壇)發(fā)起了一項關(guān)于對域名強制檢查CAA的一項提議的投票,獲得187票支持,投票有效,提議通過(guò)。
提議通過(guò)后,將于2017年9月8日根據Mozilla的Gervase Markham提出的檢查CAA記錄作為基準要求來(lái)實(shí)施。
CAA,全稱(chēng)Certificate Authority Authorization,即證書(shū)頒發(fā)機構授權。它為了改善PKI(Public Key Infrastructure:公鑰基礎設施)生態(tài)系統強度、減少證書(shū)意外錯誤發(fā)布的風(fēng)險,通過(guò)DNS機制創(chuàng )建CAA資源記錄,從而限定了特定域名頒發(fā)的證書(shū)和CA(證書(shū)頒發(fā)機構)之間的聯(lián)系。從此,再也不能是任意CA都可以為任意域名頒發(fā)證書(shū)了。
關(guān)于CAA記錄,其實(shí)早在4年前便在RFC 6844中有定義,但由于種種原因配置該DNS資源記錄的網(wǎng)站寥寥無(wú)幾。如今,SSL證書(shū)在頒發(fā)之前對域名強制CAA檢查,就對想要https訪(fǎng)問(wèn)的網(wǎng)站域名提出了解析配置的要求。
CAA記錄可以控制單域名SSL證書(shū)的發(fā)行,也可以控制通配符證書(shū)。當域名存在CAA記錄時(shí),則只允許在記錄中列出的CA頒發(fā)針對該域名(或子域名)的證書(shū)。
在域名解析配置中,咱們可以為整個(gè)域(如example.com)或者特定的子域(如subzone.example.com)設置CAA策略。當為整域設置CAA資源記錄時(shí),該CAA策略將同時(shí)應用于該域名下的任一子域,除非被已設置的子域策略覆蓋。
CAA記錄格式由以下元素組成:
CAA <flags> <tag> <value>
釋義:
元素 | 說(shuō)明 |
---|---|
CAA | DNS資源記錄類(lèi)型 |
<flags> | 認證機構限制標志 |
<tag> | 證書(shū)屬性標簽 |
<value> | 證書(shū)頒發(fā)機構、策略違規報告郵件地址等 |
<flags>
定義為0~255無(wú)符號整型,取值:
Issuer Critical Flag:0
1~7為保留標記
<tag>
定義為US-ASCII和0~9,取值:
CA授權任何類(lèi)型的域名證書(shū)(Authorization Entry by Domain) : issue
CA授權通配符域名證書(shū)(Authorization Entry by Wildcard Domain) : issuewild
指定CA可報告策略違規(Report incident by IODEF report) : iodef
auth、path和policy為保留標簽
<value>
定義為八位字節序列的二進(jìn)制編碼字符串,一般填寫(xiě)格式為:
[domain] [";" * 參數]
當需要限制域名example.com
及其子域名可由機構letsencrypt
頒發(fā)不限類(lèi)型的證書(shū),同時(shí)可由Comodo
頒發(fā)通配符證書(shū),其他一律禁止,并且當違反配置規則時(shí),發(fā)送通知郵件到example@example.com
。
配置如下(為便于理解,二進(jìn)制Value值已經(jīng)過(guò)轉碼,下同):
example.com. CAA 0 issue "letsencrypt.org"example.com. CAA 0 issuewild "comodoca.com"example.com. CAA 0 iodef "mailto:example@example.com"
如果子域名有單獨列出證書(shū)頒發(fā)要求,例如:
example.com. CAA 0 issue "letsencrypt.org"alpha.example.com. CAA 0 issue "comodoca.com"
那么,因子域策略?xún)?yōu)先,所以只有Comodo可以為域名alpha.example.com.
頒發(fā)證書(shū)。
售前咨詢(xún)
售后咨詢(xún)
備案咨詢(xún)
二維碼
TOP