CAA类型是域名SSL证书的一种认证说明,有这个解析类型,标明此域名的SSL证书只允许某个指定的SSL颁发机构颁发的证书才是合法的证书。

CAA记录可以控制单域名SSL证书的发行,也可以控制通配符证书。当域名存在CAA记录时,则只允许在记录中列出的CA颁发针对该域名(或子域名)的证书。

在域名解析配置中,咱们可以为整个域(如example.com)或者特定的子域(如subzone.example.com)设置CAA策略。当为整域设置CAA资源记录时,该CAA策略将同时应用于该域名下的任一子域,除非被已设置的子域策略覆盖。

其目的是为了防止某些证书颁发机构错误发放证书导致的域名中间人信息攻击 在浏览器访问https的网址时,浏览器默认会去查询域名对应的CAA记录,查到的记录如果和HTTPS反馈的证书颁发结构出现冲突就会阻止这一次的访问,保护域名访问者信息安全。若没有记录或记录指定为任意结构都可以 则只要证书有效期内都正常访问。

解析方式为:

主机头     类型     优先级   TTL    解析值

@            CAA      默认      默认   flags > tag > value >

格式说明:

  • flag:认证机构限制标志,取值0或128;
  • tag: 证书属性标签,取值:issue(CA授权任何类型的域名证书),issuewild(CA授权通配符域名证书),iodef(指定CA可报告策略违规)。
  • value:证书颁发机构域名、策略违规报告邮件地址等信息;

flags:    0或128

tag:    issue 或 issuewild 或 iodef

CA授权任何类型的域名证书(Authorization Entry by Domain) : issue

CA授权通配符域名证书(Authorization Entry by Wildcard Domain) : issuewild

指定CA可报告策略违规(Report incident by IODEF report) : iodef

value:    不包含| “” \< >中文字符的字符串

举例:

  • 0 issue “ca.example.net”
  • 0 issuewild “example.com”
  • 0 iodef “mailto:admin@example.com”