阿里云域名caa记录添加详解

最新推荐文章于 2024-05-22 10:28:03 发布
最新推荐文章于 2024-05-22 10:28:03 发布
阅读量1.4k 收藏
点赞数
文章标签: 运维 网络
原文链接:https://yq.aliyun.com/articles/280424
版权

本篇写于tiansir.com  原创文章 2017-12-9

CAA记录介绍

CAA,全称Certificate Authority Authorization,即证书颁发机构授权。它为了改善PKI(Public Key Infrastructure:公钥基础设施)生态系统强度、减少证书意外错误发布的风险,通过DNS机制创建CAA资源记录,从而限定了特定域名颁发的证书和CA(证书颁发机构)之间的联系。从此,再也不能是任意CA都可以为任意域名颁发证书了。

关于CAA记录,其实早在4年前便在RFC 6844中有定义,但由于种种原因配置该DNS资源记录的网站寥寥无几。如今,SSL证书在颁发之前对域名强制CAA检查,就对想要https访问的网站域名提出了解析配置的要求。

CAA记录详解

CAA记录可以控制单域名SSL证书的发行,也可以控制通配符证书。当域名存在CAA记录时,则只允许在记录中列出的CA颁发针对该域名(或子域名)的证书。

在域名解析配置中,咱们可以为整个域(如example.com)或者特定的子域(如subzone.example.com)设置CAA策略。当为整域设置CAA资源记录时,该CAA策略将同时应用于该域名下的任一子域,除非被已设置的子域策略覆盖。

CAA记录格式

根据规范(RFC 6844),CAA记录格式由以下元素组成:

CAA <flags> <tag> <value>

名词解释:

CAA:DNS资源记录类型

<flags>:认证机构限制标志

<tag>:证书属性标签

<value>:证书颁发机构、策略违规报告邮件地址等

<flags>定义为0~255无符号整型,取值:

Issuer Critical Flag:0

1~7为保留标记

<tag>定义为US-ASCII和0~9,取值:

CA授权任何类型的域名证书(Authorization Entry by Domain) : issue

CA授权通配符域名证书(Authorization Entry by Wildcard Domain) : issuewild

指定CA可报告策略违规(Report incident by IODEF report) : iodef

auth、path和policy为保留标签

<value>定义为八位字节序列的二进制编码字符串,一般填写格式为:

[domain] [“;” * 参数]

CAA记录示例

当需要限制域名tiansir.com及其子域名可由机构aliyun颁发不限类型的证书,同时可由symantec颁发通配符证书,其他一律禁止,并且当违反配置规则时,发送通知邮件到admin@tiansir.com。

配置如下:

 0 issue “aliyun.com”

0 issuewild “symantec.com”

0 iodef “mailto:admin@tiansir.com”

如果子域名有单独列出证书颁发要求,例如:

 0 issue “aliyun.com”   在主机记录添加@

0 issue “symantec.com”  在主机记录添加子域名down

那么,因子域策略优先,所以只有symantec可以为域名down.example.com.颁发证书。

tiansir网站是如何使用的呢?

0 issue “symantec.com”        注意主机记录是你的子域名或者通配符*或者@

0 iodef “mailto:admin@tiansir.com”

我如何验证使用CAA成功呢?

[root@iZ5797ngmexeexZ ~]# dig
-bash: dig: command not found
发现没有安装dig 那么我们先给服务器安装一下吧  我的使用环境是centos
[root@iZ5797ngmexeexZ ~]# yum install dig

安装成功后

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
[root@iZ5797ngmexeexZ ~]# dig www.tiansir.com caa
 
; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.1 <<>> www.tiansir.com caa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63959
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.tiansir.com. IN CAA
 
;; AUTHORITY SECTION:
tiansir.com. 600 IN SOA vip1.alidns.com. hostmaster.hichina.com. 2017020313 3600 1200 3600 360
 
;; Query time: 6 msec
;; SERVER: 100.100.2.136#53(100.100.2.136)
;; WHEN: Sat Dec 09 11:06:34 CST 2017
;; MSG SIZE rcvd: 111

 

或者使用

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
[root@iZ5797ngmexeexZ ~]# dig www.tiansir.com type257
 
; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.1 <<>> www.tiansir.com type257
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48439
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.tiansir.com. IN CAA
 
;; AUTHORITY SECTION:
tiansir.com. 600 IN SOA vip1.alidns.com. hostmaster.hichina.com. 2017020313 3600 1200 3600 360
 
;; Query time: 1 msec
;; SERVER: 100.100.2.136#53(100.100.2.136)
;; WHEN: Sat Dec 09 11:10:58 CST 2017
;; MSG SIZE rcvd: 111

 

当然你还可以用

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
[root@iZ5797ngmexeexZ ~]# dig www.tiansir.com
 
; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.1 <<>> www.tiansir.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23921
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 25
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.tiansir.com. IN A
 
;; ANSWER SECTION:
www.tiansir.com. 600 IN A 115.28.163.174
 
;; AUTHORITY SECTION:
tiansir.com. 172800 IN NS vip1.alidns.com.
tiansir.com. 172800 IN NS vip2.alidns.com.
 
;; ADDITIONAL SECTION:
vip1.alidns.com. 344 IN A 116.211.173.151
vip1.alidns.com. 344 IN A 116.211.173.153
vip1.alidns.com. 344 IN A 121.29.51.151
vip1.alidns.com. 344 IN A 121.29.51.153
vip1.alidns.com. 344 IN A 140.205.29.113
vip1.alidns.com. 344 IN A 140.205.228.51
vip1.alidns.com. 344 IN A 140.205.228.53
vip1.alidns.com. 344 IN A 14.1.112.11
vip1.alidns.com. 344 IN A 14.1.112.13
vip1.alidns.com. 344 IN A 47.88.44.151
vip1.alidns.com. 344 IN A 106.11.30.113
vip1.alidns.com. 344 IN A 106.11.41.151
vip2.alidns.com. 127 IN A 116.211.173.152
vip2.alidns.com. 127 IN A 116.211.173.154
vip2.alidns.com. 127 IN A 121.29.51.152
vip2.alidns.com. 127 IN A 121.29.51.154
vip2.alidns.com. 127 IN A 140.205.29.114
vip2.alidns.com. 127 IN A 140.205.228.52
vip2.alidns.com. 127 IN A 140.205.228.54
vip2.alidns.com. 127 IN A 14.1.112.12
vip2.alidns.com. 127 IN A 14.1.112.14
vip2.alidns.com. 127 IN A 47.88.44.152
vip2.alidns.com. 127 IN A 106.11.30.114
vip2.alidns.com. 127 IN A 106.11.41.152
 
;; Query time: 6 msec
;; SERVER: 100.100.2.136#53(100.100.2.136)
;; WHEN: Sat Dec 09 11:09:06 CST 2017
;; MSG SIZE rcvd: 489
weixin_33955681
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
阿里云域名解析添加CAA记录,防止你的域名证书被劫持
迷失蒲公英
02-26 726
据权威部门统计,全球约有上百个证书颁发机构(CA)有权发放HTTPS证书,以证明您网站的身份。但是证书颁发机构由于某些原因,往往会被浏览器列入”黑名单” ,并被公开宣布将不再信任其签发的HTTPS证书。所以当你访问到部署了这些证书的网站时,部分浏览器比如谷歌、火狐会提示”HTTPS证书不受信任”,浏览器地址栏的HTTPS也会被划上一条小红线,网页不能访问,如下图所示。
CAA检查成为强制 保护域名所有者免于误签发证书
TrustAsia的博客
04-14 1821
证书颁发机构授权(CAA)是一种可选的安全措施,网站运营商可以使用这些措施来保护其域名免于错误发布。它允许域所有者指定哪些证书颁发机构(CA)被允许为其网站颁发证书。CAA被配置为DNS记录。想要使用CAA的域所有者可以创建一个DNS记录,包含能为其颁发证书的CA列表。CAB论坛在上月批准了一项提案,即,从2017年9月8日起,所有CA将被要求检查并遵守域的CAA记录
给你的站点添加 DNS CAA 保护
weixin_34349320的博客
09-10 363
什么是 DNS CAA 譬如说,你的站点已经启用了 HSTS,甚至已经被固化到了浏览器内部。但是一个中间人仍然劫持了你的连接。你走了 HTTPS 协议?没问题,我也搞到了一个你所访问域名的 SSL 证书。要知道 SSL 连接使用的证书是服务端决定的,但是这个证书未必就是真正的域名所有人申请的。虽然普通人未必能搞到不属于你的域名的证书,但是...
【Linux】Centos 8 服务器部署:阿里云域名注册、域名解析、个人网站 ICP 备案详细教程
顾三殇 —— 博客空间(软件测试)
10-30 4913
阿里云个人域名注册、域名解析、个人网站备案详细教程
高并发高流量网站架构
建伟博客
03-21 3297
Web2.0的兴起,掀起了互联网新一轮的网络创业大潮。以用户为导向的新网站建设概念,细分了网站功能和用户群,不仅成功的造就了一大批新生的网站,也极大的方便了上网的人们。但Web2.0以用户为导向的理念,使得新生的网站有了新的特点——高并发,高流量,数据量大,逻辑复杂等,对网站建设也提出了新的要求。     本文围绕高并发高流量的网站架构设计问题,主要研究讨论了以下内容:     首先在整个网络
caa:rfc6844-符合CAA记录查找和验证
05-14
a 符合CAA记录查找和验证用法npm i caa import caa from 'caa' ;await caa ( 'subdomain.example.com' ) ;// => [{flags: 0, tag: 'issue', value: 'letsencrypt.org', issuerCritical: false}]await caa . matches ...
CATIA CAA 添加dialog command 以及图片实例教程
07-12
一个简单的通过cmd 触发dlg实例 初学者可按照次实例 对比去学习 添加
CAA开发百科全书(CATIA)
01-17
CAA开发百科全书(CATIA) CAA(Customer Application Access)是达索系统为CATIA(Computer Aided Three-dimensional Interactive Application)开发的一种开放架构,旨在帮助用户和开发者创建、定制和扩展CATIA的...
CAA添加参数程序
11-21
本程序代码正是基于CAA,用于在CATIA环境中添加参数,这是参数化设计的核心部分。 在CATIA中,参数化建模允许设计者使用变量来控制几何模型的特性,而不是直接操作几何形状。这种方式使得设计更加灵活,可以轻松...
CATIA V5R18 CAA.rar
04-22
CAA(Customer Adaptation Area)是CATIA的一个关键组件,它允许用户自定义和扩展CATIA的功能,以满足特定行业或企业的特殊需求。 CAA是基于Java和VBA(Visual Basic for Applications)的开放架构,开发者可以利用...
域名系统DNS服务
FlamencaH的博客
06-21 7533
)] DNS是什么? 域名系统(Domain Name System)是整个互联网的电话簿,它能够将可被人理解的域名翻译成可被机器理解 IP 地址,使得互联网的使用者不再需要直接接触很难阅读和理解的 IP 地址。 域名系统在现在的互联网中非常重要,因为服务器的 IP 地址可能会经常变动,如果没有了 DNS,那么可能 IP 地址一旦发生了更改,当前服务器的客户端就没有办法连接到目标的服务器了,如果我们为 IP 地址提供一个”别名“并在其发生变动时修改别名和 IP 地址的关系,那么我们就可以保证集群对外提供的服
关于开心网的服务器
首席技术执行官CTO(Chief Technology Officer)|技术总监--邓斌博客
08-14 2248
<br />1.开心网的主站采用了DNS轮询技术,所谓DNS轮询,就是一个域名对应几条A记录,如开心网的主站有6台服务器<br />DNS轮询有一个缺点,如果域名所指向的某一个台服务器或几台服务器出现了问题(如Web服务器停止服务),则DNS轮询无法判断<br />C:/Users/caihuafeng>nslookup www.kaixin001.com<br />服务器:  ns.crcbj.com<br />Address:  61.233.9.9<br /><br />非权威应答:<br />名称:
DNS系统
qq_31220203的博客
06-19 985
DNS使用
域名申请·多域名SSL证书申请·SSL证书认证流程·CAA解析记录添加
weixin_39775857的博客
11-24 1762
环境:VPS:CentOS8 1.申请域名 通过阿里云申请一个域名就好,博主申请了个人域名.top,第一年6元 2.添加一条IPV4的DNS解析记录 阿里云-控制台-域名解析-解析设置-添加新纪录 这里不再赘述,参照阿里云域名解析记录添加教程就可以了。 3.配置服务端http-server 配置httpd不是我们的重点。 不清楚的同学可以参考别的博客 我找了找这篇博客相对比较详细,需求也简单。https://www.cnblogs.com/heian99/p/11972314.htm
域名DNS添加CAA记录
最新发布
墨痕诉清风的博客
05-22 249
DNS CAA(Certificate Authority Authorization)记录是一种不太常见的DNS记录类型,它主要用于锁定证书颁发机构(CA)列表,以确保只有特定的CA可以为某个域名颁发SSL/TLS证书。CAA记录是保护域名免受钓鱼攻击的安全措施,通过限制哪些CA可以为特定域名颁发证书,减少了证书意外错误发布的风险。在DNS中设置CAA记录后,只有记录中列出的CA才能为域名(或子域名)颁发证书。
Linux-DNS学习记录01-安装部署
TKXS
06-15 525
DNS 命名用于 Internet 等 TCP/IP 网络中,通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时,该服务可以将此名称解析为与之相关的其他信息,如 IP 地址。DNS 采用C/S架构服务器端主要工作在UDP协议端口53,当然也可以在TCP协议端口53之上。 应用程序通常将 DNS 解析委派给操作系统的 DNS Resolver 来执行,程序员对它几乎无感知。使用域名好处总结:Tips: 域名的购买与使用流程(此处忽略了我大天朝的特殊国情):Tips: 了解各种域名状态的
运维DNS域名解析服务基础概念与Bind9安装
WeiyiGeek 唯一极客IT知识分享
04-27 2128
​0x00 前言简述 基础概念 基础术语 记录类型 0x01 DNS服务介绍 原理流程 实验目标 0x02 DNS服务之Bind9 Ubuntu 安装 CentOS 安装 Docker 容器 1) 源码编译安装 2) APT仓库安装 Bind9 基础介绍 Bind9 安装方式 WeiyiGe..
DNS CAA 记录及创建方法
sysin | SYStem INside
08-18 1715
作者:gc(at)sysin.org,主页:www.sysin.org 关于 CAA 有一百多个被称为证书颁发机构的组织,可以颁发 SSL 证书来保证您的域的身份。如果您和大多数域所有者一样,您可能只从少数几个证书颁发机构获得证书。CAA(Certificate Authority Authorization,证书颁发机构授权)允许您声明您实际使用的证书颁发机构,禁止其他机构为您的域颁发证书。 以下是您使用 CAA 的一些原因: 您希望降低来自不安全证书颁发机构的风险。您可以使用CAA将您的域限制为您信
设置好DNS CAA记录,轻松提高HTTPS站点安全
蔚可云的博客
02-07 2121
随着HTTPS的覆盖率越来越广,SSL证书的需求量也在上升。为了更加完善HTTPS加密协议的使用,2017年3月CA | B论坛发起了一项关于对域名强制检查CAA的一项提案的投票,获得187票支持,投票有效,提议通过。 ​ 提议通过后,将于2017年9月8日根据Mozilla的Gervase Markham提出的检查CAA记录作为基准要求来实施。 什么是DNS CAA? 证书颁发机构授权(全称Certificate Authority Authorization,简称CAA)为改善PKI(P.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值