前陣子使用 AWS ACM 去申請 SSL 憑證,遇到公司的網域有設定 CAA 記錄而無法申請,所以來了解一下什麼是 CAA 記錄授權
在目前來說全球簽發 SSL/TLS 憑證的機構越來越多,記得已經過百個,也因此 SSL/TLS 憑證的安全性更受考驗,曾經在 2015 年時賽門鐵克 (Symantec) 因為誤發了憑證數量高達 3 萬多個,導致 Google 直接把 Symantec 的憑證安全等級降低,這對一個資安業者來說是非常大的商譽減損 (曾誤發憑證遭Google降安全評等,賽門鐵克把數位憑證業務賣了!)
CAA record 是定義在 RFC 6844 中,由 CA/Browser 在 2017 年時決議於 2017 年 9 月起強制所有憑證簽發的機構必須在簽發前先檢查 CAA 記錄,確保不會在簽發機構單方面的失誤而導致錯發,由 CAA 記錄更可以多一層 DNS Owner 的確認。
而 CAA record 分為兩種記錄:
- issue:允許該機構簽發單一憑證
- issuewild:允許該機構簽發 wildcard 憑證
用戶端可以用 dig caa 查看允許的機構
$ dig caa google.com而在 AWS ACM 這個案例,就是必須要信任以下其中一個網域即可
- amazon.com
- amazontrust.com
- awstrust.com
- amazonaws.com
另外把 AWS ACM 的 CAA 授權網域申請文件給貼上來「AWS Certificate Manager Configure a CAA Record」
