DNS CAA 資源記錄檢查

發行憑證前,憑證機構檢查 CAA 資源記錄。

在憑證授權機關 (CA) 可以發行使用於您的網域的 SSL/TLS 憑證前,他們必須檢查、處理和遵守網域的 DNS Certification Authority Authorization (憑證授權單位,CAA) 資源記錄 (RR).(請參閱 Ballot 125 – CAA 記錄[通過],RFC 6844,和 Ballot 219:說明沒有 "issue"/"issuewild" 屬性標籤的 CAA 記錄的處理。

DigiCert 發行您的網域的憑證「不需要」CAA 資源記錄。此處提供的資訊僅在您處於這些情況之一時重要:

  • 您已有針對您的網域設定的 CAA 資訊記錄。
  • 您想要新增您的網域的 CAA 資源記錄。

如需有關 CAA 的優點的資訊,請參閱 CAA 的安全優點

CAA RR 程序如何作用

發行憑證前,CA (例如 DigiCert) 會檢查 CAA RR 以決定他們是否可以發行用於您的網域的憑證。符合以下其中一個條件時,CA 可以發行用於您的網域的憑證:

  • 他們找不到您的網域的 CAA RR。
  • 他們找到授權給他們發行該類型憑證的您的網域的 CAA RR。
  • 他們只找使用於您的網域的憑證中,沒有 "issue" 或 "issuewild" 屬性標籤的 CAA RR。

單一 CAA RR 的權力

在您建立 CAA 資源記錄 (RR) 以授權發行網域的 SSL/TLS 憑證後,您有效的排除了所有其他憑證授權機關 (CA) 發行該網域的憑證。授權其他 CA 發行用於該網域的憑證的唯一方式是建立用於該 CA 的其他 CAA RR。

如果網域沒有 CAA RR,這表示任何 CA 都可以發行網域的所有類型的 SSL/TLS 憑證。

如果您有一份網域的 Rr,這表示 CA 必須找到授權他們發行網域的 SSL/TLS 憑證的 CAA RR。當您建立您網域的第一份 CAA RR 時,瞭解您必須建立該網域的充份政策以支援您組織的 SSL/TLS 憑證需求是一件重要的事。

這樣,CAA 資源記錄可以精準控制網域的憑證發行。此控制權可用防止未獲得授權的憑證授權機關發行使用於您的網域的憑證。

使用於 for DigiCert、Symantec、Thawte、GeoTrust、RapidSSL 品牌憑證的 CA 授權

取得 Symantec 的 Website Security 和相關 PKI 解決方案,DigiCert 將業界領先的憑證品牌整合在一個憑證授權機關下 – DigiCert。當您建立 yourdomani.com 的 CAA RR,並授權 DigiCert 發行其 SSL/TLS 憑證時 (yourdomain CAA 0 issue "digicert.com"),表示您授權 DigiCert to 發行用於該網域的 DigiCert、Symantec、Thawte、GeoTrust 和 RapidSSL 品牌的 SSL/TLS 憑證。

同樣的原理也適用在當您建立 CAA RR 並授權發行使用於 yourdomain.com 的 SSL/TLS 憑證時 (yourdomain CAA 0 issue "symantec.com")。此單一記錄允許 DigiCert 發行用於該網域的 DigiCert、Symantec、Thawte、GeoTrust 和 RapidSSL 品牌的 SSL/TLS 憑證。

有效的 CAA 資源記錄值

以下是您目前在您的 CAA 記錄中,可用於授權 DigiCert 發行您的 SSL/TLS 憑證的有效 CAA RR 值

  • digicert.com
  • www.digicert.com
  • digicert.ne.jp
  • cybertrust.ne.jp
  • symantec.com
  • thawte.com
  • geotrust.com
  • rapidssl.com

列出的所有值都相等。換言之,您可以使用其中任一個值允許 DigiCert 發行用於所有 DigiCert 憑證品牌、入口網站、產品等的 SSL/TLS 憑證。

確認您的 CAA RR 的設定正確

您是否有或正在計畫建立您的網域的 DNS CAA RR?確保您的記錄是最新的並準確是一件重要的事。

在 DigiCert,我們建議您在訂購您的網域的 SSL/TLS 憑證前,檢查其現有的 DNS CAA RR。確認您有每個 CA 授權發行使用於您的網域的 SSL/TLS 憑證的必要記錄。我們也建議建立新 DNS CAA RR 者瞭解程序如何運件。不要讓設定錯誤的 CAA RR 意外阻止了 CA 發行「盡快」需要的憑證。

請參閱如何編輯網域的 DNS CAA RR 以取得 DigiCert 憑證品牌

什麼是 DNS CAA 資源記錄?

憑證授權單位 (CAA) 資源記錄 (RR) 允許網域擁有者建立授權特定憑證授權機關 (CA) 發行使用於他們的關聯網域的政策。網域擁有者可以使用 CAA RR 建立整個網域 (例如 example.com) 的或特定主機名稱 (例如 mail.example.com) 的安全政策。

當您建立您的基本網域的 CAA RR 時,表示您建立了該政策的子網域的保護傘政策,除非您建立子網域的個別 CAA RR。您有 example.com 的 CAA RR 記錄,但想要建立 mail.example.com 的其他安全政策?建立針對郵件子網域的其他 CAA RR。

建立此記錄後,當您訂購 mail.example.com 的 SSL/TLS 憑證時,CA 會查詢您用於該子網域的 CAA RR 的 DNS。如果 CA 找到用於 mail.example.com 的記錄,搜尋就會停止,然後將該政策套用到憑證訂單中。如果 CA 找不到 mail.example.com 的記錄,他們會在其父項網域 example.com 上持續他們的 CAA RR 的 DNS 查詢。如果 CA 找到 example.com 的記錄,他們會將父項網域的政策套用到使用於 mail.example.com 的憑證訂單。

DNS CAA 資源記錄語法

憑證授權單位 (CAA) 資源記錄 (RR) 由單一位元組 flagtag-value 配對,也稱為屬性 (RFC 6844 sections 3, 5.1) 所組成。flag 是未指派的整數,介於 0-255 之間。tag-value 配對中的tag 可由 US-ASCII 字母和數字所組成,value 是一個 octet 字串,代表 tag-value 屬性的值。

CAA RR 屬性標籤

您可以發佈該網域名稱的多個 CAA RR,將多個屬性關聯到相同的網域。但每個 CAA RR 只可以授權一個 CA 發行您的網域的憑證 (或在有些情況中一個類型的憑證)。

若要允許多個 CA 發行用於您的網域的憑證,您需要為每個 CA 建立至少一個 CAA RR (在有些情況中為兩個 CAA RR)。關於協助設定您的 CAA RR,請瀏覽 CAA 記錄協助程式

"發行"屬性標籤

使用此屬性標籤授權 (例如 DigiCert) 僅發行用於網域的 Wildcard 憑證。處理用於 *.yourdomain 的 Wildcard 憑證訂單時,CA 會查詢包含 "issuewild" 屬性標籤的 CAA RR 的 DNS。如果 CA 找到 "issuewild" 屬性標籤,用於該網域的所有有 "issue" 屬性標籤的 CAA RR 遭到忽略。若要授權其他 CA 僅發行用於相同網域的 Wildcard 憑證,您需要建立每個 CA 的唯一 CAA RR。

generic
yourdomain CAA 0 issuewild "digicert.com"

issuewild"issuewild"如何作用

"Issuewild" 屬性標籤授權 CA 僅發行用於網域 (*.domain.com 、*.sub.domain.com、*.sub.sub.domain.com 等) 的 CA 憑證。此標籤不允許 CA 發行用於網域 (domain.com、sub.domain.com、sub.sub.domain.com 等) 的非授權標籤。

使用"issuewild"屬性標籤

正確使用時,"issuewild" 屬性可以是建立萬用字元憑證發行政策的有效工具。

例如,您建立了 yourdomain 的三個 "issue" CAA RR。稍後,您決定您只要這些 CA 之一發行 yourdomain 的 Wildcard 憑證。因此,您建立了一個授權 CA 發行 *.yourdomain Wildcard 憑證的 "issuewild" CAA RR。所有三個 CA 可以持續發行 yourdomain 的非 Wildcard 憑證,但現有只有一個 CA 可以發行其 Wildcard 憑證。

授權 DigiCert 發行用於網域的萬用字元憑證

當您訂購用於 *.yourdomain 的 Wildcard 憑證時,DigiCert 會免費將 yourdomain 納入憑證中。這會在您建立 "issuewild" CAA RR (yourdomain CAA 0 issuewild "digicert.com") 以授權 DigiCert 僅發行用於您的基礎和子網域的憑證時造成問題。

由於我們在您的 Wildcard 憑證訂單中納入 yourdomain (或 mail.yourdomain),連同 *.yourdomain (或 *.mail.yourdomain,因此您必須以下選項之一,這樣我們可以發行您的 Wildcard 憑證給您。

  1. 建立適用於 DigiCert 的 “issue” CAA RR

    除非您有建立 yourdomain 的 "issuewild" CAA RR 的特定原因,否則請不要建立。僅管理 "issue" CAA RR 要簡單的多:

generic
yourdomain CAA 0 issue "digicert.com"
  1. 建立 DigiCert 的 “issue” CAA RR 和 “issuewild”

    如果您組織的政策允許,而且您必須建立用於 you domanin.com 的 create “issuewild”,請訂立兩個規則:

generic
yourdomain CAA 0 issue "digicert.com"
yourdomain CAA 0 issuewild "digicert.com"
  1. 聯絡我們

    如果您組織的政策不允許您授權 DigiCert 發行用於您的網域的非 Wildcard 憑證,請聯絡我們,,我們將與您合作找出問題的解決方法,這樣我們可以發行您的 Wildcard 憑證。

錯誤使用"issuewild"屬性

未正確使用時,"issuewild" 屬性可有效阻止 CA 發行網域所需的憑證。處理憑證訂單時,CA 會忽略有 "issuewild" 屬性標籤的所有 CAA RR,除非 (1) CA 正在處理 Wildcard 憑證的訂單,或 (2) "issuewild" 標籤是用於網域的唯一 CAA RR。

  1. CA 處理 Wildcard 憑證的訂單

    建立使用於您的網域 (yourdomain CAA 0 issuewild "digicert.com") 的單一 "issuewild" 記錄時,您有效排除了沒有 "issuewild" 記錄的所有其他 CA 發行該網域的 Wildcard 憑證。如果那是您建立記錄時的意圖,您需要為每個您要授權以發行 yourdomain 的 Wildcard 憑證的每個 CA 建立其他的 "issuewild" 記錄。

  2. "issuewild" CAA RR – 僅針對網域建立的記錄類型

    當您訂購用於 yourdomain 的非 Wildcard 憑證時,CA 將忽略用於網域的任何 "issuewild" CAA RR,除非 "issuewild" CAA RR 唯一找到的記錄類型。發生此情況時,CA 無法發行用於 yourdomain 的非 Wildcard 憑證。

    使用 CAA RR 的基本原因是建立網域惖憑證發行政策。當您為您的網域 (yourdomain CAA 0 issuewild "digicert.com") 域建立 "issuewild" 記錄時,沒有伴隨任何 "issue" 記錄,您指的是兩件事:

    1. 您授權此 CA (而且僅此 CA) 發行用於 yourdomain 的 Wildcard 憑證。
    2. 您不想要任何 CA 發行用於 yourdomain 的非 Wildcard 憑證。
      這就是 CAA RR 的運作方式,並且應該是您為 yourdomain.com 建立僅 "issuewild" CAA RR 的意圖。

    當您為網域建立第一個 "issuewild" CAA RR 時,瞭解您必須立刻繼續建立兩種類型的 SSL/TLS 憑證授權 (非 Wildcard 和 Wildcard) 是一件重要的事。

CAA RR 和 CNAME 如何一起運作

當您要求包含指向其他網域 (例如 my.blog.example.net) 的 CNAME 記錄的網域 (例如 my.blog.example.com) 時,憑證授權機觀 (CA) 會遵照特定程序 (列在基本要求中[BR]) 以找到授權它們發行您的憑證的 CAA RR。

CNAME 目標

作為資源耗盡攻擊的預防措施,CA 只需要遵照 8 個 CNAME 目標 (8 或更少個 CNAME 記錄:blog.example.com 是用於 blog.example.net 的 CNAME,而 blog.example.net 是用於 blog.example.org 的 CNAME,餘此類推 8 層深)。

程序在憑證要求上的網域名稱開始,持續到最頂層網域。程序將在找到 CAA RR 的任何點停止。然後 CAA RR 會決定是否授權 CAA 發行您的憑證。

CAA RR 以目前的 CNAME 檢查工作流程的範例

若要查看較大版本的圖表,請按一下此處

步驟 1:CA 會檢查憑證要求 my.blog.example.com 上的網域名稱的 CAA RR。

如果 CA 在憑證要求上找到用於網域的 CAA 記錄,搜尋就會停止。CA 會檢查是否有授權給他們發行您的憑證的 CAA 記錄。如果他們找到記錄,CA 會發行憑證。如果他們找不到記錄,CA 無法發行憑證。

如果 CA 在憑證要求上找不到用於網域的 CAA 記錄,CAA 記錄搜尋會繼續

步驟 2:CA 會檢查用於 CNAME 目標網域 my.blog.example.net 的 CAA RR。.

如果 CA 找到用於 CNAME 目標網域的 CAA 記錄,搜尋就會停止。CA 會檢查是否有授權給他們發行您的憑證的 CAA 記錄。如果他們找到記錄,CA 會發行憑證。如果他們找不到記錄,CA 無法發行憑證。

如果 CA 找不到用於 CNAME 目標網域的 CAA 記錄,CAA 記錄搜尋會繼續

步驟 3:CA 會檢查用於原始網域的父項網域 blog.example.com 的 CAA RR。

如果 CA 找到用於原始網域的父項網域的 CAA 記錄,搜尋就會停止。CA 會檢查是否有授權給他們發行您的憑證的 CAA 記錄。如果他們找到記錄,CA 會發行憑證。如果他們找不到記錄,CA 無法發行憑證。

如果 CA 上找不到用於原始網域的父項網域的 CAA 記錄,CAA 記錄搜尋會繼續

步驟 4:CA 會檢查用於原始網域的基本網域 domain.example.com 的 CAA RR。

如果 CA 找到用於原始網域的基本網域的 CAA 記錄,搜尋就會停止。CA 會檢查是否有授權給他們發行您的憑證的 CAA 記錄。如果他們找到記錄,CA 會發行憑證。如果他們找不到記錄,CA 無法發行憑證。

如果 CA 上找不到用於原始網域的基本網域的 CAA 記錄,CAA 記錄搜尋會繼續

步驟 5:CA 會檢查用於原始網域的頂層網域 com 的 CAA RR。

如果 CA 找到用於原始網域的頂層網域的 CAA 記錄,搜尋就會停止。CA 會檢查是否有授權給他們發行您的憑證的 CAA 記錄。如果他們找到記錄,CA 會發行憑證。如果他們找不到記錄,CA 無法發行憑證。

如果 CA 上找不到用於原始網域的頂層網域的 CAA 記錄,CAA 發行憑證

其他資訊: