CAA(Certification Authority Authorization,证书颁发机构授权)记录是一种 DNS 记录,是一项降低 SSL 证书错误颁发的控制措施,由互联网工程任务组(IETF)批准列为 IETF RFC6844 规范。
CAA 记录允许域名所有者通过设置 CAA 解析记录来授权指定的 CA 机构为其颁发 SSL 证书。CA 机构在颁发 SSL 证书时会强制性检查域名的 CAA 记录,如果检查发现未获得授权,将拒绝为该域名颁发 SSL 证书,从而防止未授权的 SSL 证书错误颁发,规避安全风险。如果域名所有者没有为其域名设置 CAA 记录,那么任何 CA 机构都可以为其域名颁发证书。
CAA 记录的格式为:(flag) (tag) (value),是由一个标志字节的 (flag) 和一个被称为属性的 (tag)-(value)(标签 – 值)对组成。其中,flag 通常填写 0,表示如果颁发证书机构无法识别本条信息,就忽略;tag 支持 issue、issuewild 和 iodef,issue 表示 CA 授权单个证书颁发机构发布任何类型的域名证书,issuewild 表示 CA 授权单个证书颁发机构发布主机名的通配符证书,iodef 表示 CA 可以将违规的颁发记录 URL 发送给某个电子邮箱;value 则是 CA 的域名或用于违规通知的电子邮箱。
川公网安备 51010702003693号