CAA 全名就是 Certificate Authority Authorization
給 DNS 設定後,讓 SSL 憑證授權單位(機構) 在頒發證書之前先檢查網域只允許誰誰誰簽證書,避免發錯、亂發 (真實發生過),因為證書是大家都可自簽自發的。
2017年9月之前強制所有憑證頒發機構履行CAA ,也就是說憑證授權單位(機構)簽發之前要檢查網域的 CAA 記錄,但目前並沒有強制網域一定要遵守 CAA (如果你在意的就要自己來)
簡單的在 zone 檔裡面設定如下
ssorc.tw. IN CAA 0 issue "letsencrypt.org"
留言