CloudFlare 接入/CAA

来自wikiTLO
跳转至: 导航搜索

<- 返回 CloudFlare 接入

CAA 记录用于声明一个域名允许哪些证书颁发商颁发证书。在 2017 年年底,CAA 已经成为了所有证书颁发商需要支持的规范,这使得 CAA 可以非常有效的提升域名证书安全性。

CloudFlare 会自动的为域名签发证书,但由于域名证书可能由多个证书颁发商其中之一颁发,这使得添加 CAA 记录变得复杂。

什么是 CAA?

RFC 6844 中定义的证书颁发机构授权(CAA)记录允许域所有者将颁发过程限制为指定的证书颁发机构(CA)。 CAA记录旨在避免 CA 在某些情况下错误签发证书。

Cloudflare 如何评估 CAA 记录?

CAA是针对CA的指令,而不是Cloudflare。将记录指定为某一个 CA 不会影响 Cloudflare 使用哪个 CA 签发你的域名下的 Universal SSL 或者 Dedicated SSL。

如果我不包含允许通用 SSL颁发的 CAA 记录,为什么必须禁用通用 SSL?

如果在域名上设置了指定的 CAA 记录,却不包含某些必要的 CAA 记录,我们的 CA 合作商将无法颁发证书。虽然这可能只影响您的域名,但您的 CAA 记录会阻止共享相同证书的其他客户签发 Universal SSL证书。因此,我们必须禁用 Universal SSL。

需要哪些记录才能保持 Cloudflare Universal SSL?

如果您希望继续使用Cloudflare的免费通用SSL证书,则必须至少在您的域上设置以下记录:

example.com. IN CAA 0 issue "comodoca.com"
example.com. IN CAA 0 issue "digicert.com"
example.com. IN CAA 0 issue "globalsign.com"
example.com. IN CAA 0 issuewild "comodoca.com"
example.com. IN CAA 0 issuewild "digicert.com"
example.com. IN CAA 0 issuewild "globalsign.com"

请注意,对于您希望继续使用 Universal SSL 的任何域域名,您不得对根记录只使用 issuewild 选项。单独使用 issuewild 只允许签发通配符证书(如 *.example.com),而无法将域的顶点添加到证书中(如 example.com)。您应该使用 issue 选项。 此外,你还可以配置 iodef 记录,这样在 CA 签发证书时会收到通知。目前(2018 年) iodef 记录还不完全被支持,

example.com. IN CAA 0 iodef "mailto:james@example.com"

Cloudflare 使用的 CA 列表

实际使用中,如果你不切换接入模式,你的域名只会由一个域名证书颁发商颁发。所以你可以仅设置某一个 CA 的 CAA 记录。加粗是 Free 用户使用的 SSL。

你也可以参照此来配置 HTTP Public Key Pinning。

AddTrust External CA Root

通常标准接入和官方接入(NS)都使用了此根证书。

example.com. IN CAA 0 issue "comodoca.com"
example.com. IN CAA 0 issuewild "comodoca.com"

GlobalSign Root CA

example.com. IN CAA 0 issue "globalsign.com"
example.com. IN CAA 0 issuewild "globalsign.com"

Baltimore CyberTrust Root / GTE CyberTrust Global Root

通常通用接入(CNAME/IP)、标准接入和官方接入(NS)都使用了此根证书。此证书通常也不颁发通配符证书,所以可以不使用 issuewild 记录。

example.com. IN CAA 0 issue "digicert.com"
example.com. IN CAA 0 issuewild "digicert.com"

通用SSL被禁用时会发生什么?

除非您上传自己的自定义证书,否则您的域名将立即从现有证书中删除,并且您的用户将无法访问 HTTPs 站点。只有 Business 和 Enterprise 用户可以上传自定义证书。

我如何才能重新启用 Universal SSL?

您必须先更新您的 CAA 记录以允许 Universal SSL 签发。完成此操作后,请提交工单

设置CAA记录有什么危险?

如果您是大型组织的成员,或者多个 CA 承担签发 ​​SSL 证书的任务,则必须确保您包含必须的 DNS 记录,以便为您的组织与之建立关系的所有 CA 颁发证书。如果你不这样做,你可能会无意中阻止你的组织的其他 CA 签发。