摘要:什么是譬如說(shuō),你的站點(diǎn)已經(jīng)啟用了��,甚至已經(jīng)被固化到了瀏覽器內(nèi)部��。證書(shū)頒發(fā)機(jī)構(gòu)授權(quán)����,簡(jiǎn)稱(chēng)是一項(xiàng)借助互聯(lián)網(wǎng)的域名系統(tǒng),使域持有人可以指定允許為其域簽發(fā)證書(shū)的數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)的技術(shù)����。首先添加解析記錄,指向你服務(wù)器的外網(wǎng)然后添加記錄���。
什么是 DNS CAA
譬如說(shuō)�,你的站點(diǎn)已經(jīng)啟用了 HSTS�,甚至已經(jīng)被固化到了瀏覽器內(nèi)部。但是一個(gè)中間人仍然劫持了你的連接����。你走了 HTTPS 協(xié)議?沒(méi)問(wèn)題���,我也搞到了一個(gè)你所訪問(wèn)域名的 SSL 證書(shū)����。要知道 SSL 連接使用的證書(shū)是服務(wù)端決定的�,但是這個(gè)證書(shū)未必就是真正的域名所有人申請(qǐng)的。雖然普通人未必能搞到不屬于你的域名的證書(shū)�����,但是證書(shū)頒發(fā)機(jī)構(gòu)就不一樣——雖然基于信譽(yù)的原因他們不太可能會(huì)這樣做����,但是沒(méi)有任何外在的保護(hù)防止他們頒發(fā)并非由域名所有人申請(qǐng)的證書(shū)��。
簡(jiǎn)而言之��,一個(gè)有效的證書(shū)未必就是域名所有人申請(qǐng)的證書(shū)����。就好比普通人造不出能過(guò)驗(yàn)鈔機(jī)的假鈔�����,但是再?gòu)?qiáng)大的驗(yàn)鈔機(jī)也不能阻止造幣廠監(jiān)守自盜。這時(shí)就需要一個(gè)更上層的服務(wù)去驗(yàn)證這個(gè)“有效的證書(shū)”的合法性�,這就是 DNS CAA 的作用。
DNS Certification Authority Authorization(DNS證書(shū)頒發(fā)機(jī)構(gòu)授權(quán)���,簡(jiǎn)稱(chēng) CAA)是一項(xiàng)借助互聯(lián)網(wǎng)的域名系統(tǒng)(DNS)����,使域持有人可以指定允許為其域簽發(fā)證書(shū)的數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)(CA)的技術(shù)����。它會(huì)在 DNS 下發(fā) IP 的同時(shí),同時(shí)下發(fā)一條資源記錄����,標(biāo)記該域名下使用的證書(shū)必須由某證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)。比如我大 EOI 的官網(wǎng)使用了 Let"s Encrypt 頒發(fā)的免費(fèi)證書(shū)����,我可以同時(shí)使用 CAA 技術(shù)標(biāo)記 EOI 官網(wǎng)域名 www.eoitek.com 使用的 SSL 證書(shū)由 Let"s Encrypt 頒發(fā),這樣就可以(在一定程度上)解決上面所述的問(wèn)題���。
啟用 DNS CAA
CAA 是 DNS 服務(wù)器下發(fā)的記錄�,所以首先要 DNS 服務(wù)器支持才行����。EOI官網(wǎng)域名購(gòu)買(mǎi)自阿里云旗下的萬(wàn)網(wǎng)��,然而萬(wàn)網(wǎng)自帶的 DNS 服務(wù)并不支持 CAA 資源記錄。如果想體驗(yàn) CAA��,還得使用國(guó)外的 DNS 服務(wù)器��。支持 CAA 記錄的國(guó)外 DNS 服務(wù)這里有比較詳細(xì)的記錄:https://sslmate.com/caa/support
筆者使用的是 Hurricane Electric Free DNS 這款號(hào)稱(chēng)永久免費(fèi)的 DNS 服務(wù)����。注冊(cè)賬號(hào)并郵箱驗(yàn)證后,添加一個(gè)新的域名��,注意要填寫(xiě)一級(jí)域名�。
首先添加 DNS 解析(A)記錄,指向你服務(wù)器的外網(wǎng) IP
然后添加 CAA 記錄�����。
Name 可以直接填寫(xiě)頂級(jí)域名��,會(huì)自動(dòng)應(yīng)用到多級(jí)域名����。
CAA data 填寫(xiě) 0 issue "證書(shū)頒發(fā)機(jī)構(gòu)域名"����。
如果如果你用 Let"s Encrypt 頒發(fā)的免費(fèi)證書(shū)�����,CAA data 部分直接填寫(xiě) 0 issue "letsencrypt.org" 即可����。
你還可以添加一條為 0 iodef "mailto:你的郵箱" 的 CAA 記錄,表示如果發(fā)現(xiàn)違背 CAA 記錄的情況給這個(gè)郵箱發(fā)郵件通知��。
如果你仍然不太清楚如何填寫(xiě) CAA 記錄�,可以用工具直接生成:https://sslmate.com/caa/。填寫(xiě)域名后點(diǎn) Auto-Generate Policy�,這個(gè)工具會(huì)自動(dòng)查詢(xún)你的網(wǎng)站使用了什么證書(shū),從而生成對(duì)應(yīng)的 CAA 記錄數(shù)據(jù)���。
填寫(xiě)完成后結(jié)果類(lèi)似如下圖(圖中還添加了幾條指向 EOI 公司內(nèi)網(wǎng)的域名):
最后只需要把你域名的 DNS 服務(wù)器指向到 nsX.he.net 就好了
更改 DNS 服務(wù)器指向可能需要約兩天時(shí)間生效�����。是否生效可以在 Hurricane Electric Free DNS 中你的域名的記錄列表頁(yè)查看����。
檢驗(yàn) DNS CAA 是否生效
使用 SSL Server Test 可以很方便的檢驗(yàn)?zāi)愕挠蛎欠駟⒂昧?DNS CAA
下面還有對(duì)應(yīng)證書(shū)是否匹配當(dāng)前 DNS CAA 記錄的提示
完
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/11288.html
