强制CAA查看的提议
2017年3月7日,CA|B Forum (一个全球证书颁布组织与浏览器的技术论坛)发起了一项关于对域名强制查看CAA的一项提议的投票,取得187票支撑,投票有用,提议通过。
提议经往后,将于2017年9月8日依据Mozilla的Gervase Markham提出的查看CAA记载作为基准要求来施行。
什么是CAA记载?
CAA,全称Certificate Authority Authorization,即证书颁布组织授权。它为了改进PKI(Public Key Infrastructure:公钥基础设施)生态系统强度、削减证书意外过错发布的危险,通过DNS机制创立CAA资源记载,然后约束了特定域名颁布的证书和CA(证书颁布组织)之间的联络。从此,再也不能是恣意CA都可认为恣意域名颁布证书了。
关于CAA记载,其实早在4年前便在RFC 6844中有界说,但由于种种原因装备该DNS资源记载的网站屈指可数。现在,SSL证书在颁布之前对域名强制CAA查看,就对想要https拜访的网站域名提出了解析装备的要求。
CAA资源记载详解
CAA记载能够操控单域名SSL证书的发行,也能够操控通配符证书。当域名存在CAA记载时,则只允许在记载中列出的CA颁布针对该域名(或子域名)的证书。
在域名解析装备中,我们可认为整个域(如example.com)或许特定的子域(如subzone.example.com)设置CAA战略。当为整域设置CAA资源记载时,该CAA战略将一起应用于该域名下的任一子域,除非被已设置的子域战略掩盖。
CAA记载格局
CAA记载格局由以下元素组成:
CAA<flags><tag><value>
释义:
| 元素 | 阐明 |
|---|---|
| CAA | DNS资源记载类型 |
<flags> |
认证组织约束标志 |
<tag> |
证书特点标签 |
<value> |
证书颁布组织、战略违规陈述邮件地址等 |
<flags>界说为0~255无符号整型,取值:
Issuer Critical Flag:0
1~7为保存符号
<tag>界说为US-ASCII和0~9,取值:
CA授权任何类型的域名证书(Authorization Entry by Domain) : issue
CA授权通配符域名证书(Authorization Entry by Wildcard Domain) : issuewild
指定CA可陈述战略违规(Report incident by IODEF report) : iodef
auth、path和policy为保存标签
<value>界说为八位字节序列的二进制编码字符串,一般填写格局为:
[domain] [";" * 参数]
CAA资源记载示例
当需求约束域名example.com及其子域名可由组织letsencrypt颁布不限类型的证书,一起可由Comodo颁布通配符证书,其他一概制止,而且当违背装备规矩时,发送告诉邮件到example@example.com。
装备如下(为便于了解,二进制Value值已通过转码,下同):
example.com.CAA0issue"letsencrypt.org"example.com.CAA0issuewild"comodoca.com"example.com.CAA0iodef"mailto:example@example.com"
如果子域名有独自列出证书颁布要求,例如:
example.com.CAA0issue"letsencrypt.org"alpha.example.com.CAA0issue"comodoca.com"
那么,因子域战略优先,所以只要Comodo可认为域名alpha.example.com.颁布证书。
声明:有的资源均来自网络转载,版权归原作者所有,如有侵犯到您的权益 请联系邮箱:123456@qq.com 我们将配合处理!
原文地址:域名解析中到底什么是CAA记录?CAA记录详解发布于2022-07-22 07:43:45
