看到有朋友问的CAA,如何设置,这个一句话说不清楚,大鸟这里单独写一篇文章来详细的叙述下,如何利用添加CAA。
CAA 要启用,必须要 DNS 服务商支持才行。国内,京东云DNS,阿里云DNS, 都支持,dnspod不支持,不知道商业版支不支持。其他的没用过不太清楚!另外支持 CAA 记录的国外 DNS 服务这里有比较详细的记录:【】如果你不知道自己的DNS域名解析服务是否支持CAA,可以查看以下汇总图。
这篇文章我们看看如何利用添加CAA!!!
第一 :添加格式
添加 CAA 记录的说明如下:
主机记录 直接填写顶级域名,会自动应用到多级域名。
CAA data 填写0 issue "证书颁发机构域名"。
如果如果你用 Let’s Encrypt 颁发的免费证书,CAA data部分直接填写 如下格式即可。
0 issue ""
你还可以添加一条为0 iodef mailto:daniao@的 CAA 记录,表示如果发现违背 CAA 记录的情况给这个邮箱发邮件通知。
CAA:格式为:flag tag value。 其中flag目前取值为0-128;tag取值为issue、issuewild、iodef;value为不包含|、””、、<>、中文字符的字符串。例如:0 issue 。
格式为:flag tag value 这个我们是要知道的。
第二:利用工具
除了Google Cloud DNS, Route 53, DNSimple等常见了DNS解析服务外,如果你用的是BIND、PowerDNS、dnsmasq等,添加域名CAA记录与上面会有所不同,建议使用CAA记录自动在线生成来搞定。
工具直接生成网址:
填写域名后点 Auto-Generate Policy,这个工具会自动查询你的网站使用了什么证书,从而生成对应的 CAA 记录数据。如图:的生成数据。
第三:添加CAA
既然,我们得到了CAA的数据,就可以来添加了,我们看看如何利用添加CAA。登录之后点击 zones 进入域名管理,如图:
Add Record添加记录,如图:
这里我们添加CAA记录,如图:
填好,我们保存即可。
第四:CAA记录是否生效
我们可以使用SSL证书在线检测网站来查看自己的域名CAA记录是否生效。
网址:。
大鸟博客的检测数据:如图:
已经生效了,添加CAA记录结束。
第五:总结
如何利用添加CAA,就说完了,整个过程也是很简单的,当然这个教程对于其他支持CAA的服务商来说都是通用的,如果你不会,不妨参考下本文。
对于DNS CAA记录,可以说在一定程度上可以防止中间人伪造SSL证书劫持DNS解析,但是仅有CAA还不够,建议,启用HSTS并加入HSTS Preload List-附删除HSTS方法。当然如果你对还不太了解,可以看看:NS1 DNS注册以及域名解析使用教程。
