域名如何解析CAA記錄

這篇文章主要講解了“域名如何解析CAA記錄”，文中的講解內容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“域名如何解析CAA記錄”吧！

背景

據權威部門統計，全球約有上百個證書頒發機構（CA）有權發放HTTPS證書，以證明您網站的身份。但是證書頒發機構由于某些原因，往往會被瀏覽器列入”黑名單” ，并被公開宣布將不再信任其簽發的HTTPS證書。所以當你訪問到部署了這些證書的網站時，部分瀏覽器比如谷歌、火狐會提示”HTTPS證書不受信任”，瀏覽器地址欄的HTTPS也會被劃上一條小紅線，網頁不能訪問，如下圖所示。

CAA（Certification Authority Authorization，即證書頒發機構授權）是一項防止HTTPS證書錯誤簽發的安全措施，于2013年1月通過互聯網工程任務組（IETF）批準，被列為RFC6844。2017年3月，CA瀏覽器論壇投票通過187號提案，要求CA機構從2017年9月8日起執行CAA強制性檢查。

CAA標準使得網站所有者，僅授權指定CA機構為自己的域名頒發證書，以防止HTTPS證書錯誤簽發。目前，阿里云云解析DNS作為國內最大的權威DNS服務商，已率先支持CAA記錄類型。

CAA記錄格式

CAA記錄的格式為：[flag] [tag] [value]，是由一個標志字節的[flag]和一個被稱為屬性的[tag]-[value]（標簽-值）對組成。您可以將多個CAA字段添加到域名的DNS記錄中。

添加CAA記錄

假設，您想要只允許由 comodoca.com 來頒發域名 gworg.com 的證書，并且發送違規通知到郵箱 admin@gworg.com。您可以按照以下方式來配置CAA記錄。

1. 登錄到阿里云云解析控制臺或者您的域名提供商（部分域名提供商不支持CAA解析）

2. 單擊目標域名操作列下的解析設置。

3. 添加如下兩條解析記錄。

   主機記錄	記錄值
   @	0 issue "comodoca.com"
   @	0 iodef "mailto:admin@gworg.com"

檢測CAA記錄

您可以使用dig 域名 記錄類型命令來查詢CAA記錄解析情況。測試樣例和返回結果如下所示。

sh-3.2#digmidengd.xyzcaa
;<<>>DiG9.10.5rc1<<>>midengd.xyzcaa
;;globaloptions:+cmd
;;Gotanswer:
;;->>HEADER<<-opcode:QUERY,status:NOERROR,id:26714
;;flags:qrrdra;QUERY:1,ANSWER:2,AUTHORITY:0,ADDITIONAL:1
;;OPTPSEUDOSECTION:
;EDNS:version:0,flags:;udp:4000
;;QUESTIONSECTION:
;midengd.xyz.INCAA
;;ANSWERSECTION:
midengd.xyz.600INCAA0iodef"mailto:admin@midengd.xyz"
midengd.xyz.600INCAA0issue"symantec.com"
;;Querytime:577msec
;;SERVER:30.26.8.5#53(30.26.8.5)
;;WHEN:TueDec0518:55:48CST2017
;;MSGSIZErcvd:114

感謝各位的閱讀，以上就是“域名如何解析CAA記錄”的內容了，經過本文的學習后，相信大家對域名如何解析CAA記錄這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關知識點的文章，歡迎關注！