CAA 全名就是 Certificate Authority Authorization

給 DNS 設定後,讓 SSL 憑證授權單位(機構) 在頒發證書之前先檢查網域只允許誰誰誰簽證書,避免發錯、亂發 (真實發生過),因為證書是大家都可自簽自發的。

2017年9月之前強制所有憑證頒發機構履行CAA ,也就是說憑證授權單位(機構)簽發之前要檢查網域的 CAA 記錄,但目前並沒有強制網域一定要遵守 CAA (如果你在意的就要自己來)

簡單的在 zone 檔裡面設定如下

ssorc.tw. IN CAA 0 issue "letsencrypt.org"
Related posts 相關文章
DNSSEC sign 簽錯了,導致 DNS 查詢失敗
More...
現在 clickFix 會搭配 nslookup DNS
More...
以後 SSL 憑證會愈來愈短
More...
如何驗證 Linux 的 DNS 查詢有輪替
More...

作者

留言

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。