域名解析类型支持CAA类型
文章来源:美橙互联
CAA类型是域名SSL证书的一种认证说明,有这个解析类型,标明此域名的SSL证书只允许某个指定的SSL颁发机构颁发的证书才是合法的证书。
其目的是为了防止某些证书颁发机构错误发放证书导致的域名中间人信息攻击 在浏览器访问https的网址时,浏览器默认会去查询域名对应的CAA记录,查到的记录如果和HTTPS反馈的证书颁发结构出现冲突就会阻止这一次的访问,保护域名访问者信息安全。若没有记录或记录指定为任意结构都可以 则只要证书有效期内都正常访问。
解析方式为:
主机头 类型 优先级 TTL 解析值
@ CAA 默认 默认 < flags > < tag > < value >
格式说明:
-
flag:认证机构限制标志,取值0或128;
-
tag: 证书属性标签,取值:issue(CA授权任何类型的域名证书),issuewild(CA授权通配符域名证书),iodef(指定CA可报告策略违规)。
-
value:证书颁发机构域名、策略违规报告邮件地址等信息;
flags: 0或128
tag: issue 或 issuewild 或 iodef
CA授权任何类型的域名证书(Authorization Entry by Domain) : issue
CA授权通配符域名证书(Authorization Entry by Wildcard Domain) : issuewild
指定CA可报告策略违规(Report incident by IODEF report) : iodef
value: 不包含| "" \< >中文字符的字符串
举例:
-
0 issue "ca.example.net"
-
0 issuewild "example.com"
-
0 iodef "mailto:admin@example.com"