DNS.COM解析平台怎么添加CAA记录？

为您的域名设置CAA记录，是提高网站安全性的一个有效方法。本文介绍了CAA标准产生的背景，以及使用云解析DNS来设置并验证CAA记录的方法。

背景

CAA记录介绍

CAA，全称Certificate Authority Authorization，即证书颁发机构授权。它为了改善PKI(Public Key Infrastructure：公钥基础设施)生态系统强度、减少证书意外错误发布的风险，通过DNS机制创建CAA资源记录，从而限定了特定域名颁发的证书和CA(证书颁发机构)之间的联系。从此，再也不能是任意CA都可以为任意域名颁发证书了。关于CAA记录，其实早在4年前便在RFC 6844中有定义，但由于种种原因配置该DNS资源记录的网站寥寥无几。如今，SSL证书在颁发之前对域名强制CAA检查，就对想要https访问的网站域名提出了解析配置的要求。

CAA记录详解

CAA记录可以控制单域名SSL证书的发行，也可以控制通配符证书。当域名存在CAA记录时，则只允许在记录中列出的CA颁发针对该域名(或子域名)的证书。

CAA记录格式

CAA记录的格式为：，是由一个标志字节的和一个被称为属性的-（标签-值）对组成。您可以将多个CAA字段添加到域名的DNS记录中。

flag0-255之间的无符号整数，用于标志认证机构。通常情况下填0，表示如果颁发证书机构无法识别本条信息，就忽略。tag支持 issue、issuewild 和 iodef。valueCA的域名或用于违规通知的电子邮箱。

添加CAA记录

假设，您想要只允许由 symantec.com 来颁发域名 midengd.xyz 的证书，并且发送违规通知到邮箱 admin@midengd.xyz。

您可以按照以下方式来配置CAA记录。

CAA记录值常见几种格式：

0 issue letsencrypt.org

0 issuewild comodoca.com

0 iodef mailto:example@example.com