dongnan
总版主
总版主
  • 粉丝52
  • 发帖数2168
  • 铜币13301枚
  • 威望5857点
  • 银元150个
  • 社区居民
  • 最爱沙发
  • 忠实会员
  • 原创写手
阅读:615回复:0

为何要设置域名 CAA记录?

楼主#
更多 发布于:2017-12-19 10:27
为什么要为域名设置 CAA记录
    引子,2015年发生过一起著名的沃通(wosign)误签发GitHub域名SSL证书事件,用户在使用schrauger.github.com以及schrauger.github.io的个人子页面权限,获取沃通信任后,成功拿到了github.com、github.io、www.github.io这几个域名的证书。此时,如果把用户的访问流量劫持到本地服务器,那么浏览器就能访问位于本地的伪造GitHub钓鱼网站,HTTPS安全加密通信将没有任何作用。

所以,2017年3月,CA浏览器论坛投票通过187号提案,要求CA机构从2017年9月8日起执行CAA强制性检查。CAA标准使得网站所有者,仅授权指定CA机构为自己的域名颁发证书,以防止HTTPS证书错误签发,为网站域名设置CAA记录也成为了提高网站安全性方法之一。

什么是 域名 CAA记录
    我们使用的SSL证书是由某些 "颁发机构"(CA)颁发的,例如著名的 赛门铁克(symantec),以及一些小的机构,但是证书颁发机构由于某些原因,往往会有些不规范行为,例如 wosign 的 github事件,CAA(Certification Authority Authorization,即证书颁发机构授权) 就是为了防止 HTTPS证书错误签发的安全措施。

如何设置 CAA记录
目前国内的域名服务商,只有部分能够支持 CAA记录功能,以阿里云云解析为例,详细请参考这里;
登录阿里云控制台,添加如下两条解析记录,如下所示:
   @ 0 issue "symantec.com"
    @ 0 iodef "mailto:admin@midengd.xyz"

如何查询 CAA记录
#以 ubuntu 14.04 下的 dig 命令为例
dig +nocmd +nocomment midengd.xyz caa | head -n5
;midengd.xyz.            IN    CAA
midengd.xyz.        600    IN    CAA    0 issue "symantec.com"
midengd.xyz.        600    IN    CAA    0 iodef "mailto:admin@midengd.xyz"
midengd.xyz.        3600    IN    NS    vip1.alidns.com.
midengd.xyz.        3600    IN    NS    vip2.alidns.com.

#
游客

返回顶部