如何给域名添加DNS CAA记录

作者: boris 分类: 技术文章 发布时间: 2017-09-22 15:50

什么是CAA

DNS Certification Authority Authorization(DNS证书颁发机构授权,简称 CAA)是一项借助互联网的域名系统(DNS),使域持有人可以指定允许为其域签发证书的数字证书认证机构(CA)的技术。它会在 DNS 下发 IP 的同时,同时下发一条资源记录,标记该域名下使用的证书必须由某证书颁发机构颁发。由于一个域名可以在很多家数字证书厂商CA申请SSL证书,如果域名被劫持很有可能在域名持有者不知情的情况下申请一张受浏览器信任的证书。同时对于CA来说,如果某个域名已经制定了哪家CA给自己颁发ssl证书,那么其他家就无法给这个域名颁发证书了,这样可以有效保护SSL证书的随意申请和滥用。

在域名的DNS添加CAA

这里以Godaddy的域名为例,比如我们制定域名只能申请let’s encrypt的免费证书,那我们可以在DNS的记录里面添加如下记录,另外国内目前大多数域名提供商暂时还不支持CAA,

在万网添加CAA记录

打开阿里云控制面板,找到要解析的域名,然后点击“解析”,具体如下图:

成功添加CAA记录后,可以通过sslab扫描,开启成功后检查结果如下:

发表评论

电子邮件地址不会被公开。 必填项已用*标注