CAA解析未授权影响SSL证书签发如何解决
环度小编:xadmin 发布时间:2020-12-30

什么是 CAA? CAA 背景事件

CAA(Certification Authority Authorization,证书颁发机构授权)是一项防止 HTTPS证书错误颁发的安全措施,遵从 IETF RFC6844。2017年3月7日,CAB Forum (一个全球证书颁发机构与浏览器的技术论坛)发起了一项关于对域名强制检查CAA的一项提议的投票,获得187票支持,投票有效,提议通过。提议通过后,将于 2017 年 9 月 8 日根据 Mozilla 的 Gervase Markham 提出的检查 CAA 记录作为基准要求来实施。从 2017 年 9 月 8 日起,要求 CA(Certification Authority,证书颁发)机构执行 CAA 强制性检查。这意味着不是任意 CA 都可以为任意域名颁发证书了。

CAA解析未授权影响SSL证书签发如何解决

什么是CAA标准?

CAA标准是指域名所有者在其域名DNS记录的CAA字段中,授权指定CA机构为其域名颁发证书。

全球约有上百个CA机构有权颁发HTTPS证书,CAA标准可以使网站管理者将指定CA机构列入白名单,仅授权指定CA机构为其网站颁发证书,防止HTTPS证书错误颁发。设置CAA记录是提高网站安全性的方法之一。

CA机构在为域名签发证书时执行CAA强制性检查:

●  如果检查域名的DNS记录,发现未设置CAA字段,则为该域名颁发证书。这种情况下,任何CA机构均可为该域名签发证书,可能存在HTTPS证书错误颁发的风险。

●  如果检查域名的DNS记录,在CAA字段发现获得授权,那么被授权的CA机构有权为该域名颁发证书,防止了HTTPS证书错误颁发。

●  如果检查域名的DNS记录,在CAA字段发现未获得授权,则拒绝为该域名颁发证书,这样也就防止未授权HTTPS证书错误颁发。

想要顺利执行CAA标准,需要三方共同完成:

●  DNS服务商:升级DNS系统使其支持CAA记录设置;

●  域名所有者:在DNS记录的CAA字段中,授权指定的几家CA机构为其签发证书;

●  CA机构:CA机构签发证书之前,强制性检查 DNS CAA记录。

CAA作为一种 DNS 资源记录,可以让域名持有者指定授权一家或多家CA为其域名(或子域名)颁发证书。当域名存在CAA记录时,则只允许在记录中列出的CA为该域名(或子域名)颁发证书。如果申请签发证书时,DNS记录中CAA提示未授权,那么证书签发将失败,如下图所示:

什么是CAA? 如何解决CAA未授权问题?

面对CA机构证书签发失败的这个情况,则表明图上 SECTIGO(原COMODO) CA 在检查域名的 DNS 记录时发现在 CAA 字段未获得的授权,所以拒绝为该域名颁发证书。换句话说,该域名持有者指定了某一个 CA 为其颁发证书,比如 Digicert CA,而没有将 SECTIGO(原COMODO) CA 纳入授权列表中。

如何解决CAA未授权问题?

登录您的域名DNS管理界面,在您申请证书的域名上新增一条DNS记录,记录类型选择CAA即可。

CAA记录值常见几种格式: 

0 issuewild "sectigo.com" 

0 issue "sectigo.com"

0 issuewild "digicert.com"

0 issue "digicert.com"

添加完成后等待记录生效即可。

CAA记录生效后,即可在授权的CA中任选证书为该域名签发证书。

注:如果申请证书时未能成功签发,检测原因是未授权该CAA,如上面的示例,那么在新填CAA记录生效后,取消原申请证书订单,重新提交申请即可。