南琴浪博客

DNS CAA 证书颁发机构授权

01/13/2018

DNS CAA,全称 DNS Certification Authority Authorization,即 DNS 证书颁发机构授权。是一项借助互联网的 DNS 解析系统,使域持有人可以指定允许为其域签发证书的 CA 的技术。DNS CAA Record 并不用于对 TLS 的额外检查,它的宗旨在于使 CA 避免在某些情况下错误签发证书。更多 CAA 的说明可以参考 wikipedia

接下来以 Cloudflare 为例,介绍添加 DNS CAA 记录的方式。

Cloudflare 添加 CAA 记录

官方文档:https://support.cloudflare.com/hc/en-us/articles/115000310792-Configuring-CAA-Records

当然,Cloudflare 的 DNS CAA Record 目前还属于 Beta 阶段,如果你想添加 CAA 记录,你需要向 Cloudflare 发出 Request。我在后文会贴出我的 Request 过程。

更新:现在已经不再需要申请了,直接就可以添加 CAA 记录。

现在先介绍在 Cloudflare 添加 CAA 记录的过程。

在 DNS 中选择 CAA 类型,写入你的域名:
选择 CAA 类型

然后单击 “Click to configure” 按钮,弹出这样的窗口:
弹出这样的窗口

CAA Value 的 Tag 有三种类型,一般选择 “Allow wildcards and specific hostnames” 这项即可:
Tag 有三种类型

然后输入对应 CA 的值(这些 CA 的值请参考官方文档),这里以 Let’s Encrypt 为例,然后确定:
输入对应 CA 的值

这样,一条 CAA 记录就添加完成了。

我的 Request 记录

上文已提到,如果你想添加 CAA 记录,你需要向 Cloudflare 发出 Request。你需要到 https://support.cloudflare.com/requests/new 发出一个 Join CAA Beta 的 Request

以下是我的 Request 过程,可以作为参考。值得一提的是,Cloudflare 的客服服务还是蛮棒的,虽然对话显得很重复很官方,服务态度和效率还是都很好的。

Request Conversation 1
Request Conversation 2-1
Request Conversation 2-2
Request Conversation 3
Request Conversation 4
Request Conversation 5
Request Conversation 6
Request Conversation 7
Request Conversation 8
Request Conversation 9
Request Conversation 10