由于某种原因,我的域名提供商不允许在其 DNS 编辑器中使用 CAA 记录。当我邮寄给他们时,他们说我可以改用 TXT 记录。经过一个小时的谷歌搜索,这似乎是不正确的。我找不到有关为此使用 TXT 记录的任何信息。我什至浏览了 RFC,但找不到任何提及 TXT 记录的内容。
CAA 是否普遍支持 TXT 记录,或者我的域名提供商是否直接错误?
证书颁发机构授权 (CAA) DNS 记录类型包括一个issue参数(也issuewild),该参数指定允许为您的域颁发证书的证书颁发机构的标识符。没关系,但有点模糊。
在您自己的 CAA 记录中设置值时,您应该如何找出您的 CA 的确切值?对于 letencrypt,他们在此处提供了一份文档,其中提到了他们的问题标识符是letsencrypt.org,并且在他们的认证实践声明第 4.2.1 节中也有记录。如果我检查证书,我可以看到其中的各种字段,但是,尽管有一些包含它,但没有一个与此字符串完全匹配。这似乎不是确保 CA 与 CAA 记录中的内容相匹配的严格或可靠的方法——例如,是什么阻止了它被匹配letsencrypt.org.evilcorp.com?
从人类的角度来看,这都是可行的,但机器可读性不是很强,并且是该 CA 独有的。
我也有来自 Comodo 的证书,我发现各种非权威来源说他们的 CAA 问题 ID 是comodoca.com(其他人说是comodo.com),但我还没有找到像 letencrypt 这样的官方文档。该comodoca.com字符串确实出现在我的证书的某些字段中,但不是出现在我希望能够可靠地找到它的上下文中 - 例如颁发者名称是COMODO ECC Domain Validation Secure Server CA (COMODO CA Limited from GB),CRL 是http://crl.comodoca.com/COMODOECCDomainValidationSecureServerCA.crl,OCSP URI 是http://ocsp.comodoca.com。
SSLMate 有一个CAA 记录生成器,它包括一个 CA 列表及其颁发者 ID …
我的 DNS 供应商不允许我为已经定义了 CNAME 记录的主机名创建 CAA 记录。我知道在使用 CNAME 时规范不允许使用其他记录类型(有一些与 DNSSEC 相关的例外),但这似乎不对......
仍然...为 CNAME 别名提供 CAA 记录的最佳方法是什么?