网站使用由可信的证书颁发机构(CA)颁发的 SSL 证书来保护访问者的敏感信息。 这些第三方实体在签发 SSL 证书前会验证网站或公司的身份。 不过,并非所有 CA 都是一样的,有些可能不符合网站所有者设定的高安全标准。 这就是CAA 记录发挥作用的地方。
本文将介绍 CAA 记录的定义和工作原理。 它还讨论了如何添加 CA 记录以及为什么要设置 CA 记录。
目录
什么是 CAA 记录?
CAA(证书颁发机构授权)记录是一种 DNS 记录,允许网站所有者指定哪些证书颁发机构(CA)有权为其域名颁发 SSL 证书。
CAA 记录是添加到网站 DNS 区域文件中的文本记录,包含以下一个或多个信息:发行者域名、标志和标记。
添加 CAA DNS 记录是一项额外的安全措施,可防止签发未经授权或伪造的证书,从而提高 SSL 证书的可信度。
CAA DNS 记录示例
下面是 SSL Dragon 在 DNS 服务器中的 CAA 记录:
ssldragon.com . CAA 0 issue “digicert.com”
在本例中,只有DigiCert有权为该域签发数字证书。 其他证书颁发机构必须遵守这一指令,否则将面临不被信任的风险。 作为域名所有者,你可以决定有多少个 CA 可以为你的网站签发 SSL 证书,甚至可以指定证书的类型。
下面是通配符证书 CAA 记录的示例:
ssldragon.com。 CAA 0 issuewild “sectigo.com”
在这种情况下,只有Sectigo可以为 ssldragon.com 签发通配符证书。 根据 CA/Browser ForumBallot 187,CA 必须在签发 SSL 证书前检查 CAA 记录。
现在,您已经知道什么是 CA 记录,是时候深入了解它的工作原理了。
CAA 记录如何工作?
让我们来分析一下 CAA 记录的每个要素。 我们将在SSL Dragon网站上使用相同的假设示例,并使用 Google.com 的真实 CAA 记录。 您可以使用DNS 检查工具自行查找。
ssldragon.com。 CAA 0 issue “digicert.com”
上述 CAA 记录包括以下部分:
- ssldragon.com– 您要保护的域名
- CAA– 记录类型
- 0 – 标志
- 问题– 标记
- Digicert.com– 授权为该特定域签发数字证书的 CA。
Google 示例还包含TTL属性。 下面我们将对标签、标记、值和 TTL 进行剖析:
旗帜
标志可以是 1(关键)或 0(非关键)两种特定状态之一,后者是默认值。
- 1 标志告诉 CA,如果它不了解该属性,就不能继续签发证书,并应通过电子邮件通知域名所有者 CAA 记录检查失败。
- 0 标志表示 CA 可以使用 DNS 区域中的任何 CAA 记录信息。 如果它不理解这条记录,可以使用 DNS 区域文件中的另一条记录。
标签
标签决定授权 CA 在签发数字证书时可以执行的操作。 拟议标准中定义的三个标记是issue、issuewild 和iodef。 不过, CA 也可以创建自己的自定义标签,以简化证书签发流程。
- 签发标记授权特定 CA 为指定域及其所有子域签发普通、非万用卡证书。
- issuewild 标签授权特定 CA 为相关域签发通配符证书。
- 当证书请求未通过 CAA 检查时,iodef(事件对象描述交换格式)标签会通过电子邮件通知域名所有者。 下面是 iodef 属性的语法: ssldragon.com。 CAA 0 iodef “mailto:[email protected]”.
TTL(生存时间)是服务器缓存 CAA 记录的秒数。
如何添加 CAA 记录?
既然您已经知道了 CAA 记录的要素,那就让我们来创造自己的记录吧。 为域名创建 CAA 证书记录的方法有很多,我们将重点介绍两种最常见的方法。
如何在 DNS 服务器上添加 CAA 记录?
如果使用自己的 DNS 服务器,可以直接在 DNS BIND 文件中创建 CAA 记录。
- 使用记事本等文本编辑器打开域名的 DNS 文件。
- 在该文件中添加或更新 DNS CAA 记录信息。 使用我们之前提供的 CAA 记录示例。 包括标记、标签、值等。
- 用新配置保存区域文件。
如何在 cPanel 中添加 CAA 记录?
如果您想通过主机面板添加 CAA 记录,下面是操作方法:
- 登录您的 cPanel 账户
- 从“域 “部分点击 “区编辑器
- 在要创建 CAA 记录的域旁边单击 “管理
- 在 “区域编辑器“页面,找到 “添加记录“按钮并展开。 从下拉列表中选择添加 “CAA “记录
- 现在,您必须填写必填字段:
- 要添加 CAA 记录的域名或子域的名称
- 记录类型(CAA)
- 标志(0 或 1)
- 标签(issue、issuewild、iodef)
- 值(授权 CA 的域名)
- 单击 “添加记录“完成配置。
为什么要在 DNS 中添加 CAA 记录?
现在,您应该是 CAA 记录方面的专家了。 但您的网站需要它吗?
下面我们列出了您可以考虑为域名设置 CA 记录的几个原因:
- 提高网站安全性。 通过限制可为您的域名签发证书的 CA 数量,您可以降低恶意攻击者为您的网站获取虚假证书的风险。
- 符合行业标准。 设置 CAA DNS 记录是行业最佳实践的一部分。 CA/Browser Forum 和 PCI 安全标准委员会建议添加 DNS CA 记录,并考虑强制执行,以加强网络安全威胁。
- 降低运行风险。 通过指定哪些 CA 有权为您的域签发证书,您可以降低操作失误和配置错误的风险,这些错误可能会导致安全漏洞或网站宕机。
- 更快的 SSL 验证 CAA 记录可以缩短 SSL 验证时间。 当 CA 收到一个域的证书请求时,它必须检查 CAA 资源记录是否存在,以及被请求的 CA 是否被授权为该域签发证书。 提前提供这些信息可以加快验证过程。
- 品牌保护。 CAA 记录可以防止欺诈性证书签发,阻止网络钓鱼攻击或其他可能损害品牌声誉的恶意活动,从而保护您的品牌声誉。
最终想法
SSL 证书现已成为每个网站的基本要素。 虽然破解 HTTPS 加密不是人类所能做到的,但网络攻击者总是在寻找巧妙的方法来破坏你的名字。
值得庆幸的是,CAA 记录是保护品牌形象的另一项出色的安全措施。 CAA 记录使您可以完全控制证书颁发过程。