域名解析類型支持CAA類型
文章來源:美橙互聯(lián)
CAA類型是域名SSL證書的一種認(rèn)證說明���,有這個解析類型����,標(biāo)明此域名的SSL證書只允許某個指定的SSL頒發(fā)機(jī)構(gòu)頒發(fā)的證書才是合法的證書�����。
其目的是為了防止某些證書頒發(fā)機(jī)構(gòu)錯誤發(fā)放證書導(dǎo)致的域名中間人信息攻擊 在瀏覽器訪問https的網(wǎng)址時�����,瀏覽器默認(rèn)會去查詢域名對應(yīng)的CAA記錄,查到的記錄如果和HTTPS反饋的證書頒發(fā)結(jié)構(gòu)出現(xiàn)沖突就會阻止這一次的訪問����,保護(hù)域名訪問者信息安全��。若沒有記錄或記錄指定為任意結(jié)構(gòu)都可以 則只要證書有效期內(nèi)都正常訪問�����。
解析方式為:
主機(jī)頭 類型 優(yōu)先級 TTL 解析值
@ CAA 默認(rèn) 默認(rèn) < flags > < tag > < value >
格式說明:
-
flag:認(rèn)證機(jī)構(gòu)限制標(biāo)志��,取值0或128�;
-
tag: 證書屬性標(biāo)簽,取值:issue(CA授權(quán)任何類型的域名證書)���,issuewild(CA授權(quán)通配符域名證書)���,iodef(指定CA可報告策略違規(guī))。
-
value:證書頒發(fā)機(jī)構(gòu)域名��、策略違規(guī)報告郵件地址等信息�;
flags: 0或128
tag: issue 或 issuewild 或 iodef
CA授權(quán)任何類型的域名證書(Authorization Entry by Domain) : issue
CA授權(quán)通配符域名證書(Authorization Entry by Wildcard Domain) : issuewild
指定CA可報告策略違規(guī)(Report incident by IODEF report) : iodef
value: 不包含| "" \< >中文字符的字符串
舉例:
-
0 issue "ca.example.net"
-
0 issuewild "example.com"
-
0 iodef "mailto:admin@example.com"