设置DNS CAA记录,防止HTTPS证书错误签发

便宜SSL11个月前 (08-07)便宜SSL知识258

全球约有上百个证书颁发机构(CA)有权发放HTTPS证书,证明您网站的身份。CAA标准使得网站可以将指定CA机构列入白名单,仅授权指定CA机构为自己的域名颁发证书,防止HTTPS证书错误签发。设置CAA记录是提高网站安全性的方法之一。




什么是CAA标准


CAA(CertificationAuthority Authorization,即证书颁发机构授权)是一项防止HTTPS证书错误签发的安全措施,于2013年1月通过互联网工程任务组(IETF)的批准列为RFC6844,2017年3月,CA浏览器论坛投票通过187号提案,要求CA机构从2017年9月8日起执行CAA强制性检查。

 

CAA标准是指域名所有者在其域名DNS记录的CAA字段中,授权指定CA机构为其域名签发证书,CA机构签发证书时强制性检查CAA记录,如果检查发现未获得授权,将拒绝为该域名签发证书,从而防止未授权HTTPS证书错误签发。如果域名所有者没有为其域名设置CAA记录,那么任何CA都可以为其域名颁发证书。

 

要顺利执行CAA标准,需要三方共同完成:

  • DNS服务商:升级DNS系统使其支持CAA记录设置;

  • 域名所有者:在DNS记录的CAA字段中,授权指定的几家CA机构为域名签发证书;

  • CA机构: CA机构签发证书之前,强制性检查DNS CAA记录。



 

如何设置DNS CAA记录


CAA记录由一个标志字节和一个被称为属性的标签-值对组成,可以将多个CAA字段添加到域名的DNS记录中。

(1)设置单域名


domain.com. CAA 0 issue"wosign.com"


这个CAA字段告知证书颁发机构,只有wosign可以为该特定域名颁发证书。未经授权的第三方尝试通过其他CA注册获取用于该域名的SSL/TLS证书将被拒绝。

 

(2)用作警报


domain.com. CAA 0 iodefmailto:[email protected]


如果第三方尝试为一个未获得授权的域名申请证书,该CAA字段会告诉CA向网站所有者发送一封邮件。Iodef属性还支持URL端点,可以记录尝试在其他CA申请HTTPS证书的行为。


domain.com. CAA 0 iodef "http://domain.com/fraud-log/"

 

(3)设置多个子域名

如果站点使用多个子域,则CAA记录也可以限制钓鱼攻击者对其中任何一个域名申请HTTPS证书。


downloads. domain.com. CAA 0 issue"wosign.com"


news. domain.com. CAA 0 issue"certum.eu"


forum. domain.com. CAA 0 issue"startcom.org"

 

(4)设置通配域名

此外,CAA记录也可用于将通配符证书的颁发权限指定仅限一家CA。


domain.com. CAA 0 issuewild "wosign.com"

 

如果您不想手动设置CAA记录,也可以通过自动生成工具生成一段CAA记录,发布到DNS系统中。

 


相关文章

自己制作SSL证书的方法

1. 介绍1.1 介绍如果我们需要一张SSL证书,又不想花钱,又不想麻烦,可以自己制作一个。自己制作的SSL证书的好处是分分钟搞定,简单,快捷。缺点是证书不受信任,浏览器会显示不安全。2. 教程2.1 创建 server.key 文件ope...

HTTPS网站必备的SSL证书,你真的了解吗?

2017 年 1 月起,谷歌浏览器开始把采用HTTP协议的网站标记为“不安全”网站。而早在 2014 年,谷歌就宣布他们将HTTPS/SSL纳入其搜索算法机制中,采用HTTPS/SSL安全认证的网站将会被谷歌给予更多的信任,从而有利于网站在...

HTTPS 证书配置一劳永逸

HTTPS 证书相关的体系组织是一个商业团体,商人出于利益的需要,把 HTTPS 证书分为各类等级,笼统的说分收费证书和免费证书,但是无论如何技术本质是一样的,所谓收费证书就是在证书发放流程中域名校验环节严格了一些,不过最终目的还是一样,确...

什么是DNS Leak?

什么是DNS Leak?DNS Leak指的是存在一个安全漏洞,该安全漏洞使得DNS请求暴露给了ISP DNS服务器,尽管VPN服务试图阻止这种情况。什么引起了DNS 泄露?DNS泄漏事件的发生有几个主要原因,通常是由于某种形式的配置错误导...

HTTPS证书对SEO排名优化有影响吗?

使用HTTPS的SEO优势 很明显,HTTPS提供了许多互联网用户所要求的安全性,甚至是需求,因此如果您希望自己的网站受到百度和Google的青睐,那么这绝对是一种可行的方式。除此之外,还应考虑SEO的一些额外好处。排名上升显而易...

SSL证书 https的小锁有多重要

SSL证书有多重要?从某种意义上来说,SSL证书算是一款网络安全产品,因为它在保护网络安全方面起着非常重要的作用。互联网+时代,使用的都是http明文传输。这种传统的传输方式,没有采取任何安全防护措施,容易遭受各种互联网安全问题,比如流量劫...

性价比高的便宜SSL证书品牌有哪些?

先来看看国产品牌中有哪些便宜的SSL证书?GeoTrustGeoTrust是全球第二大数字证书品牌,是Digicert旗下中高端SSL证书品牌。GeoTrust SSL证书类型齐全,知名度高,兼容性好,签发速度快,可以为不同网站和服务器提供...

Fiddler抓包11-HTTPS证书Actions无法导出问题

前言在点Actions时候出现Export Failed:The root certificate could not be located.最近有很多小伙伴在fiddler导出证书的时候,遇到无法导出的问题,收集了几种解决办法,供参考。&...

企业网站为什么要安装SSL证书?

什么是SSL?SSL,全称为Secure Sockets Layer(安全套接层)是一种加密算法,它在web网络服务器端口和浏览器端口之间建立加密传输。因此,必须在web网络服务器上安装了SSL证书,才可加密传输,通常表...

nginx配置便宜免费SSL证书及证书定时更新

環境 contos 6,證書發行Let's Encrypt.證書生成前提是域名是可用的,即已經備案通過並且有DNS解析到了具體IP1、安裝epel,>yum install epel-release2、下載certbot證書生...

设置 SSL 的 ClearQuest LDAP 连接信息

如果为 SSL 设置 LDAP 连接信息,那么修改“设置 Rational ClearQuest LDAP 连接信息”中的过程。配置 IBM Rational® ClearQuest® 以使用 LDAP 认证时,需要运行...

为什么非盈利网站也需要安装HTTPS证书?

数据泄露是一件很可怕的事情,近年来发生了不少数据泄露大事件,比如:Facebook数据泄露,约8700万用户数据被泄露;顺丰快递3亿用户信息外泄事件,包含寄收件人姓名、地址、电话等信息;还有前程无忧195万条个人求职简历泄露,被蓄意倒卖等等...

解决 https 证书验证不通过的问题

1、报错信息java.security.cert.CertificateException: No name matching api.weibo.com found; nested exception is javax.net.ssl.S...

换了服务器地址,旧的SSL证书是否还能继续使用?

随着信息化的普遍应用,企业网站、电商等对用户信息安全的重视,网站数据传输https加密的SSL证书的需求也在不断的重视,现在大部分网站都安装了SSL证书,网站建设者们常常会遇到这样的问题,由于服务器或者网站调整,服务器和 IP地址发生了...

迫于贫穷,求一个便宜好用的 SSL 证书

目前有一个域名需要解析二级也想用 https,迫于贫穷请大家介绍个好用又实惠的证书,谢谢了。Let's Encrypt 免费而且可以配置通配符example.com *.example.com 签同一张证书上自动更新 Le...

宝塔面板SSL证书安装

操作场景 本文档指导您如何在宝塔面板中安装 SSL 证书。 说明:本文档以证书名称 example.org 为例,实际名称请以您申请的证书为准。当前服务器的操作系统为 CentOS 7.6,由于操作系统的版本不...

Python实现HTTPS网站证书过期监控及更新

当前HTTP逐渐被大众所抛弃,HTTPS正在成为互联网上的主流。前段时间我们维护的一个HTTPS证书即将过期,由于多云环境比较复杂,团队小伙伴在替换更新证书的过程中出现疏漏,导致有一个域名证书没有及时更新,影响了系统可用性,为了杜绝这种问题...