DNS 設定 CAA 記錄授權可簽發的憑證 (AWS ACM)

2020-03-21 AWS

前陣子使用 AWS ACM 去申請 SSL 憑證,遇到公司的網域有設定 CAA 記錄而無法申請,所以來了解一下什麼是 CAA 記錄授權

在目前來說全球簽發 SSL/TLS 憑證的機構越來越多,記得已經過百個,也因此 SSL/TLS 憑證的安全性更受考驗,曾經在 2015 年時賽門鐵克 (Symantec) 因為誤發了憑證數量高達 3 萬多個,導致 Google 直接把 Symantec 的憑證安全等級降低,這對一個資安業者來說是非常大的商譽減損 (曾誤發憑證遭Google降安全評等,賽門鐵克把數位憑證業務賣了!)

CAA record 是定義在 RFC 6844 中,由 CA/Browser 在 2017 年時決議於 2017 年 9 月起強制所有憑證簽發的機構必須在簽發前先檢查 CAA 記錄,確保不會在簽發機構單方面的失誤而導致錯發,由 CAA 記錄更可以多一層 DNS Owner 的確認。

而 CAA record 分為兩種記錄:

  • issue:允許該機構簽發單一憑證
  • issuewild:允許該機構簽發 wildcard 憑證

用戶端可以用 dig caa 查看允許的機構

$ dig caa google.com

而在 AWS ACM 這個案例,就是必須要信任以下其中一個網域即可

  • amazon.com
  • amazontrust.com
  • awstrust.com
  • amazonaws.com

另外把 AWS ACM 的 CAA 授權網域申請文件給貼上來「AWS Certificate Manager Configure a CAA Record

給 Mr. 沙先生一點建議

彙整

分類

展開全部 | 收合全部

License

訂閱 Mr. 沙先生 的文章

輸入你的 email 用於訂閱