CAA检查成为强制 保护域名所有者免于误签发证书

最新推荐文章于 2023-02-26 10:16:34 发布
最新推荐文章于 2023-02-26 10:16:34 发布
阅读量1.8k 收藏
点赞数
分类专栏: 互联网安全 文章标签: HTTPS SSL证书 证书颁发机构 cab forum CAA

证书颁发机构授权(CAA)是一种可选的安全措施,网站运营商可以使用这些措施来保护其域名免于错误发布。

它允许域所有者指定哪些证书颁发机构(CA)被允许为其网站颁发证书。CAA被配置为DNS记录。想要使用CAA的域所有者可以创建一个DNS记录,包含能为其颁发证书的CA列表。

CAB论坛在上月批准了一项提案,即,从2017年9月8日起,所有CA将被要求检查并遵守域的CAA记录

为什么要强制CAA检查?

任何一个CA都有能力影响整个互联网的安全。浏览器运送大约100个根证书,包括政府拥有的根证书和一些难以描述的区域性CA。

任何一个CA都可以给你的域名颁发证书,而在历史上,那些小且不知名的CA常常是黑客利用的对象,或者在没有正确验证的情况下发出证书。

虽然不少诸如证书透明度和名称约束等措施的存在也是为了限制这些根证书的权力,CAA为域名所有者提供了另一个防线。

目前,全球只有几百个使用CAA的网站。之所以用的人这么少,其原因有二:

  • 在这次提案投票通过前,CAA不是强制性的,因而也算不上真正的安全措施。
  • CAA有它自己的DNS记录类型,这就需要DNS提供商为其添加支持。

如今CAA检查成为强制,第一个障碍已被照顾。这将大大增加用户部署CAA的兴趣,并鼓励供应商支持CAA。

TrustAsia
关注
专栏目录
域名DNS添加CAA记录
墨痕诉清风的博客
05-22 299
DNS CAA(Certificate Authority Authorization)记录是一种不太常见的DNS记录类型,它主要用于锁定证书颁发机构CA)列表,以确保只有特定的CA可以为某个域名颁发SSL/TLS证书CAA记录是保护域名免受钓鱼攻击的安全措施,通过限制哪些CA可以为特定域名颁发证书,减少了证书意外错发布的风险。在DNS中设置CAA记录后,只有记录中列出的CA才能为域名(或子域名颁发证书
域名申请·多域名SSL证书申请·SSL证书认证流程·CAA解析记录添加
weixin_39775857的博客
11-24 1999
环境:VPS:CentOS8 1.申请域名 通过阿里云申请一个域名就好,博主申请了个人域名.top,第一年6元 2.添加一条IPV4的DNS解析记录 阿里云-控制台-域名解析-解析设置-添加新纪录 这里不再赘述,参照阿里云的域名解析记录添加教程就可以了。 3.配置服务端http-server 配置httpd不是我们的重点。 不清楚的同学可以参考别的博客 我找了找这篇博客相对比较详细,需求也简单。https://www.cnblogs.com/heian99/p/11972314.htm
CAA如何进行干涉检查
weixin_34005042的博客
11-06 1200
2019独角兽企业重金招聘Python工程师标准>>> ...
给阿里云域名解析添加CAA记录,防止你的域名证书被劫持
迷失蒲公英
02-26 794
据权威部门统计,全球约有上百个证书颁发机构CA)有权发放HTTPS证书,以证明您网站的身份。但是证书颁发机构由于某些原因,往往会被浏览器列入”黑名单” ,并被公开宣布将不再信任其签发HTTPS证书。所以当你访问到部署了这些证书的网站时,部分浏览器比如谷歌、火狐会提示”HTTPS证书不受信任”,浏览器地址栏的HTTPS也会被划上一条小红线,网页不能访问,如下图所示。
阿里云域名caa记录添加详解
weixin_33955681的博客
12-09 1478
本篇写于tiansir.com 原创文章 2017-12-9 CAA记录介绍 CAA,全称Certificate Authority Authorization,即证书颁发机构授权。它为了改善PKI(Public Key Infrastructure:公钥基础设施)生态系统强度、减少证书意外错发布的风险,通过DNS机制创建CAA资源记录,从而限定了特...
宝塔 没有找到站点_宝塔面板正确开启TLS 1.3并删除TLS 1.1
weixin_39702559的博客
11-22 472
昨天折腾了一个AlphaSSL域名证书后,心血来潮去SSL评分网站测试了一番,最后的结果竟然是B,这真是不能忍啊……为啥会是B,查看了原因,竟然是启用了TLS 1.1,所以为B。那么,删除TLS 1.1不就可以了,确实可以。不过,你的姿势可能不正确。这篇文章就来介绍下宝塔面板搭建的站点,如何正确开启TLS 1.3并删除TLS 1.1, 让你的网站SSL评分达到A+ 。1、简介TLS和加密连接在网...
第03讲CAA状态命令及响应机制_caa_catia_
10-03
CAA(Compendium of Application Agents)是达索系统开发的Catia应用程序接口,它允许用户扩展和自定义Catia的功能,以满足特定的设计和工程需求。本讲将深入探讨CAA的状态命令及其响应机制,这对于理解和编写高效、...
CAA开发百科全书(CATIA)
01-17
CAA开发百科全书(CATIA) CAA(Customer Application Access)是达索系统为CATIA(Computer Aided Three-dimensional Interactive Application)开发的一种开放架构,旨在帮助用户和开发者创建、定制和扩展CATIA的...
CAA V5-6R2016安装教程.docx
03-22
CAA V5-6R2016 安装教程 ...CAA V5-6R2016 安装主要应用于 CADdesign 和产品设计领域,用于设计和开发复杂的产品模型。CAA V5-6R2016 提供了强大的设计和开发工具,帮助用户快速设计和开发产品模型。
caa.rar_CAA二次开发_CATIA CAA_caa_visual c
09-23
CAA的优势在于其灵活性和强大的功能,它允许开发者访问CATIA的所有核心模块,包括建模、装配、分析等。 在"CAA二次开发"的过程中,首先需要理解CAA的组件架构。CAA采用组件化设计,将CATIA的核心功能分解为多个可...
腾讯云申请的TrustAsia TLS RSA CA证书,安装流程需要注意的几个地方
热门推荐
huidoo888的博客
03-13 1万+
背景:我是最近自己做了一个小程序,小程序的要求比较严格,必须要是https才可以访问后台数据。所以需要把之前自己的域名http升级为https. 1.首先按照腾讯云提供的流程进行操作https://cloud.tencent.com/document/product/400/4143,我的是tomcat发布的java代码应用程序。 2.配置上面需要注意几个地方:腾讯云提供的tomcat配置 ...
设置好DNS CAA记录,轻松提高HTTPS站点安全
蔚可云的博客
02-07 2140
随着HTTPS的覆盖率越来越广,SSL证书的需求量也在上升。为了更加完善HTTPS加密协议的使用,2017年3月CA | B论坛发起了一项关于对域名强制检查CAA的一项提案的投票,获得187票支持,投票有效,提议通过。 ​ 提议通过后,将于2017年9月8日根据Mozilla的Gervase Markham提出的检查CAA记录作为基准要求来实施。 什么是DNS CAA? 证书颁发机构授权(全称Certificate Authority Authorization,简称CAA)为改善PKI(P.
DNS CAA 记录及创建方法
sysin | SYStem INside
08-18 1742
作者:gc(at)sysin.org,主页:www.sysin.org 关于 CAA 有一百多个被称为证书颁发机构的组织,可以颁发 SSL 证书来保证您的域的身份。如果您和大多数域所有者一样,您可能只从少数几个证书颁发机构获得证书CAA(Certificate Authority Authorization,证书颁发机构授权)允许您声明您实际使用的证书颁发机构,禁止其他机构为您的域颁发证书。 以下是您使用 CAA 的一些原因: 您希望降低来自不安全证书颁发机构的风险。您可以使用CAA将您的域限制为您信
HTTPS-老司机手把手教你SSL证书申购-TrustAsia证书
weixin_33698823的博客
04-09 787
前言 Apple从2016年逐步要求HTTPSSSL相关证书等,上月的JSPatch封杀更是引起广大开发者的注意,整体来说多是为了安全考虑,那么SSL证书是硬需,考虑到上一篇:HTTPS时代已来,老司机手把手指导申请免费SSL证书 介绍了阿里云的相关证书,为了不仅仅依赖一家证书,特此又研究了一下又拍云的SSL-TrustAsia证...
浏览器 - 关于安全证书
Jonathan的博客
12-08 9878
Chrome 70 开始不信任一系列旧版赛门铁克证书了,一大批网站需更换证书 Symantec(geoTrust)等部分证书不信任 Version 70.0.3503.0 (Official Build) canary (64-bit) 访问 ***.com 已经弹出 NET::ERR_CERT_SYMANTEC_LEGACY 错了, The SSL certificate used to lo...
宝塔ssl验证域名失败_申请一年期限的AlphaSSL域名证书 附宝塔面板如何安装第三方证书...
weixin_39989443的博客
11-21 460
陌涛一开始用的是腾讯云的TrustAsia 域名SSL证书(DV)(1年),但是子域名比较多,所以放弃。转而使用时长为3个月的Let's Encrypt。还可以通过宝塔自动续签,体验良好。不过这玩意有个缺点,就是你在CDN中的SSL证书要要两个月一换。看到很多站点都用的是AlphaSSL换泛域名证书,但是发现很多免费接口不能用了,不过我们通过萌咖大佬的API接口还是可以申请,成本仅24...
基于java的校园美食交流系统设计与实现.docx
最新发布
09-19
基于java的校园美食交流系统设计与实现.docx
#_ssm_126_mysql_实习支教中小学学校信息管理系统_.zip
09-19
均包含代码,文章,部分项目包含ppt
CAA初学者指南:从环境配置到几何操作
"CAA入门宝典是一份详细指导CAA初学者入门的教程,涵盖了从环境配置到实际功能实现的全过程。教程由北京索为高科系统技术有限公司的雒海涛编写,适合对CAA感兴趣的用户进行学习。" CAA,全称是Computer Aided ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值