自2017年9月9日起,所有的 CA 在签发域名证书的时候都必须要检查 CAA DNS 记录。自此,域名所有者可以控制由哪些 CA 给持有的域名签发证书。

0x1 什么是 CAA DNS 记录?

  CAA 是 Certificate Authority Authorization(CA 授权)的缩写,是一种用于授权指定 CA 为你的域名和子域名签发证书的特殊 DNS 记录。   CAA 可以让 CA 在收到新证书签发请求的时候通过邮件向你发送警报。CAA 记录有三种类型:issueissuewildiodef,更多详细内容可以阅读 CAA官方标准文档https://tools.ietf.org/html/rfc6844

0x2 如果我的域名没有 CAA 记录,是否还能正常签发证书?

  能,答案是肯定的。所有的 CA 都必须检查 CAA 记录,但是,如果没有 CAA 记录的话,等同于任意 CA 都可以为你的域名签发证书。当然,CA 依然会在实际签发证书前做所有的验证。