如何解决CAA未授权问题

什么是CAA?

CAA(Certification Authority Authorization,证书颁发机构授权)是一项防止HTTPS证书错误颁发的安全措施,遵从IETF RFC6844。从2017年9月8日起,要求CA(Certification Authority,证书颁发)机构执行CAA强制性检查。从此,不是任意CA都可以为任意域名颁发证书了。

如何解决CAA未授权问题

什么是CAA标准?

CAA标准是指域名所有者在其域名DNS记录的CAA字段中,授权指定CA机构为其域名颁发证书。

全球约有上百个CA机构有权颁发HTTPS证书,CAA标准可以使网站管理者将指定CA机构列入白名单,仅授权指定CA机构为其网站颁发证书,防止HTTPS证书错误颁发。设置CAA记录是提高网站安全性的方法之一。

CA机构在为域名签发证书时执行CAA强制性检查:

· 如果检查域名的DNS记录,发现未设置CAA字段,则为该域名颁发证书。

这种情况下,任何CA机构均可为该域名签发证书,可能存在HTTPS证书错误颁发的风险。

· 如果检查域名的DNS记录,在CAA字段发现获得授权,那么被授权的CA机构有权为该域名颁发证书,防止了HTTPS证书错误颁发。

· 如果检查域名的DNS记录,在CAA字段发现未获得授权,则拒绝为该域名颁发证书,这样也就防止未授权HTTPS证书错误颁发。

想要顺利执行CAA标准,需要三方共同完成:

· DNS服务商:升级DNS系统使其支持CAA记录设置;

· 域名所有者:在DNS记录的CAA字段中,授权指定的几家CA机构为其签发证书;

· CA机构:CA机构签发证书之前,强制性检查DNS CAA记录。

CAA作为一种DNS资源记录,可以让域名持有者指定授权一家或多家CA为其域名(或子域名)颁发证书。当域名存在CAA记录时,则只允许在记录中列出的CA为该域名(或子域名)颁发证书。如果申请签发证书时,DNS记录中CAA提示未授权,那么证书签发将失败,如下图所示:

如何解决CAA未授权问题

面对CA机构证书签发失败的这个情况,则表明图上SECTIGO(原COMODO) CA在检查域名的DNS记录时发现在CAA字段未获得的授权,所以拒绝为该域名颁发证书。换句话说,该域名持有者指定了某一个CA为其颁发证书,比如 Digicert CA,而没有将SECTIGO(原COMODO) CA纳入授权列表中。

如何解决CAA未授权问题?

登录您的域名DNS管理界面,在您申请证书的域名上新增一条DNS记录,记录类型选择CAA即可。

CAA记录值常见几种格式:

0 issuewild “sectigo.com”

0 issue “sectigo.com”

0 issuewild “digicert.com”

0 issue “digicert.com”

添加完成后等待记录生效,验证解析是否生效,可打开将域名输入到空白框中,选择CAA进行验证。

CAA记录生效后,即可在授权的CA中任选证书为该域名签发证书。

注:如果申请证书时未能成功签发,检测原因是未授权该CAA,如上面的示例,那么在新填CAA记录生效后,取消原申请证书订单,重新提交申请即可。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 86345@qq.com 举报,一经查实,本站将立刻删除。
(0)
上一篇 2023-06-28 15:38:27
下一篇 2023-06-28 15:40:22

猜你喜欢

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注