全球约有上百个证书颁发机构（CA）有权发放HTTPS证书，证实您网站的身份。CAA标准使得网站可以将指定CA机构列入白名单，仅受权指定CA机构为自己的域名颁发证书，防止HTTPS证书错误签发。设置CAA记录是提高网站安全性的方法之一。

什么是CAA标准

CAA（Certification Authority Authorization，即证书颁发机构受权）是一项防止HTTPS证书错误签发的安全措施，于2013年1月通过互联网工程任务组(IETF)的批准列为RFC6844，2017年3月，CA浏览器论坛投票通过187号提案，要求CA机构从2017年9月8日起执行CAA强制性检查。

CAA标准是指域名所有者在其域名DNS记录的CAA字段中，受权指定CA机构为其域名签发证书，CA机构签发证书时强制性检查CAA记录，假如检查发现未取得受权，将拒绝为该域名签发证书，从而防止未受权HTTPS证书错误签发。假如域名所有者没有为其域名设置CAA记录，那么任何CA都可以为其域名颁发证书。

要顺利执行CAA标准，需要三方共同完成：

DNS服务商：更新DNS系统使其支持CAA记录设置；

域名所有者：在DNS记录的CAA字段中，受权指定的几家CA机构为域名签发证书；

CA机构： CA机构签发证书之前，强制性检查DNS CAA记录。

如何设置DNS CAA记录

CAA记录由一个标志字节和一个被称为属性的标签-值对组成，可以将多个CAA字段增加到域名的DNS记录中。

（1）设置单域名

domain.com. CAA 0 issue “wosign.com”

这个CAA字段告知证书颁发机构，只有wosign可以为该特定域名颁发证书。未经受权的第三方尝试通过其余CA注册获取用于该域名的SSL/TLS证书将被拒绝。

（2）用作警报

domain.com. CAA 0 iodef mailto:admin@domain.com

假如第三方尝试为一个未取得受权的域名申请证书，该CAA字段会告诉CA向网站所有者发送一封邮件。Iodef属性还支持URL端点，可以记录尝试在其余CA申请HTTPS证书的行为。

domain.com. CAA 0 iodef “http:// domain.com/fraud-log/”

（3）设置多个子域名

假如站点使用多个子域，则CAA记录也可以限制钓鱼攻击者对其中任何一个域名申请HTTPS证书。

downloads. domain.com. CAA 0 issue “wosign.com”

news. domain.com. CAA 0 issue “certum.eu”

forum. domain.com. CAA 0 issue “startcom.org”

（4）设置通配域名

此外，CAA记录也可用于将通配符证书的颁发权限指定仅限一家CA。

domain.com. CAA 0 issuewild ” wosign.com”

假如您不想手动设置CAA记录，也可以通过自动生成工具生成一段CAA记录，发布到DNS系统中。

如何检查网站能否设置CAA记录？

SSL Labs已经将DNS CAA记录归入SSL体检项目中，通过SSL Labs可以检查自己的域名能否设置了CAA记录，还可查看已发布CAA记录的详细信息。

哪些DNS厂商支持CAA设置

CAA 是 DNS 服务器下发的记录，假如您想发布CAA记录，那您使用的DNS服务需要支持CAA，但目前国内大部分DNS服务提供商还不支持CAA，下图是部分支持CAA的国外DNS服务商。

图片来源：SSLmate

为帮助建立更加安全可信的互联网环境，仍未支持CAA记录的DNS服务商应尽快支持，域名所有者也需选择相应的DNS服务商尽快配置CAA记录，让HTTPS证书颁发更加安全。沃通CA持续提供全球信任的SSL证书产品，遵循国际标准颁发证书，支持所有浏览器和移动终端。沃通SSL Pro证书及沃通SSL Pre证书都遵循CAA标准，通过CAA检查后颁发证书。假如您在DNS CAA记录的设置方面存在疑问，欢迎咨询沃通SSL证书技术支撑。

沃通原创文章，转载请注明出处https://www.wosign.com/news/dns-caa.htm