DNS CAA

[yehlu]

https://bepsvpt.blog/2017/01/10/introdu ... o-dns-caa/

最近在將 VPS 從 DigitalOcean 轉移到 Linode 時，發現了 DNS CAA 這個規範，研究了以後，覺得應該是未來改善 https 安全性很有用的一個規範，因此想簡單的介紹一下。

在安全是一個越來越重要的議題下，大部分的網站都會使用 https 來確保使用者與網站之間資料的隱私與完整性，那麼，選擇了一個可靠的憑證機構是否就代表沒問題了？不盡然，Symantec 誤發 google.com 延伸認證 就是一個例子，除了請該憑證機構撤銷外，我們還可以採取什麼措施來保護自己的網站呢？DNS CAA 就是其中一個方法。


DNS CAA 是 DNS Certification Authority Authorization 的縮寫，定義在 RFC 6844 中，最主要的目的就是透過 DNS CAA Record 來確保該域名的憑證只能由指定的憑證機構發出，其格式為

<domain> CAA <flag> <tag> <value>
flag：Issuer Critical，目前支援 0 或 1
If set to ‘1’, indicates that the corresponding property tag MUST be understood if the semantics of the CAA record are to be correctly interpreted by an issuer.
tag 目前支援三種值，它們代表的意義如下
issue：該憑證機構可以發出該域名的憑證
issuewild：該憑證機構僅能發出該域名的 wildcard 憑證
iodef：當發生憑證機構不符時，需要回報的網址
value：憑證機構，如：letsencrypt.org
當域名不存在 record 中時，則會向上繼承，而如果子域名有 record 時，則會覆蓋，可參考範例一和二。

範例一：

example.com. CAA 0 issue “letsencrypt.org"
這代表 example.com 的憑證僅能由 letsencrypt.org 所發出

雖然 apple.example.com, banana.example.com 沒有在 record 中，但因為 example.com 有在 record 中，因此這兩個域名的憑證也僅能由 letsencrypt.org 發出

範例二：

example.com. CAA 0 issue “letsencrypt.org"

example.com. CAA 0 issue “comodo.com"

apple.example.com CAA 0 issue “symantec.com"
這代表 example.com 的憑證能由 letsencrypt.org 或 comodo.com 發出，banana.example, car.example.com 亦是，但 apple.example.com 僅能由 symantec.com 發出

範例三：

example.com. CAA 0 issue “letsencrypt.org"

example.com. CAA 0 issuewild “comodo.com"

example.com. CAA 0 iodef “http://iodef.example.com"
這代表 example.com 的憑證僅能由 letsencrypt.org，而 example.com 的 wildcard 憑證僅能由 comodo.com 發出，當發生不符時，則會回報給 http://iodef.example.com

以上就是幾個範例，並不會很複雜，希望對你有幫助，而介紹的部分也就告一個段落囉