给阿里云域名解析添加CAA记录，防止你的域名证书被劫持

背景

据权威部门统计，全球约有上百个证书颁发机构（CA）有权发放HTTPS证书，以证明您网站的身份。但是证书颁发机构由于某些原因，往往会被浏览器列入”黑名单” ，并被公开宣布将不再信任其签发的HTTPS证书。所以当你访问到部署了这些证书的网站时，部分浏览器比如谷歌、火狐会提示”HTTPS证书不受信任”，浏览器地址栏的HTTPS也会被划上一条小红线，网页不能访问，如下图所示。

CAA（Certification Authority Authorization，即证书颁发机构授权）是一项防止HTTPS证书错误签发的安全措施，于2013年1月通过互联网工程任务组（IETF）批准，被列为RFC6844。2017年3月，CA浏览器论坛投票通过187号提案，要求CA机构从2017年9月8日起执行CAA强制性检查。

CAA标准使得网站所有者，仅授权指定CA机构为自己的域名颁发证书，以防止HTTPS证书错误签发。以博主的主域名gxnas.com为例，域名注册商和解析均为阿里云，目前阿里云云解析DNS作为国内最大的权威DNS服务商，已率先支持CAA记录类型。

CAA记录格式

CAA记录的格式为：[flag] [tag] [value]，是由一个标志字节的[flag]和一个被称为属性的[tag]-[value]（标签-值）对组成。您可以将多个CAA字段添加到域名的DNS记录中。

字段	说明
flag	0-255之间的无符号整数，用于标志认证机构。通常情况下填0，表示如果颁发证书机构无法识别本条信息，就忽略。
tag	支持 issue、issuewild 和 iodef。 issue：CA授权单个证书颁发机构发布的任何类型域名证书。 issuewild：CA授权单个证书颁发机构发布主机名的通配符证书。 iodef：CA可以将违规的颁发记录URL发送给某个电子邮箱。
value	CA的域名或用于违规通知的电子邮箱。

字段

说明

flag

0-255之间的无符号整数，用于标志认证机构。通常情况下填0，表示如果颁发证书机构无法识别本条信息，就忽略。

tag

支持 issue、issuewild 和 iodef。

issue：CA授权单个证书颁发机构发布的 任何类型 域名证书。
issuewild：CA授权单个证书颁发机构发布主机名的 通配符 证书。
iodef：CA可以将违规的颁发记录URL发送给某个电子邮箱。

value

CA的域名或用于违规通知的电子邮箱。

具体操作方法

如果你的域名也是阿里云，可以按照以下方式来配置CAA记录：

1、在浏览器打开这个网址：CAA Record Generator ，在“1、Enter Your Domain Name”这里输入主域名（一级域名），点“Auto-GeneratePolicy”生成你主域名的CAA记录值；

2、在“3、Incident Reporting(Optional)”这里输入你的邮箱，如果有发现域名证书被劫持的，系统会自动发送违规通知到这个邮箱；

3、向下拉，来到“4、Publish Your CAA Policy”这里，会显示你的域名CAA记录值，我这里有3个；

4、登录阿里云后台，进入域名解析/解析设置，添加记录，记录类型选择“CAA—CA证书颁发机构授权校验”，主机记录写“@”（引号不写，@用英文半角格式），记录值用上面显示的这3个，每次复制一个记录值添加后确定，按照顺序添加三次（不要复制相同的内容）；

5、添加3次后会显示这样（注：这里不用照搬我的。请根据你的实际情况选择。比如需要添加泛域名的保护，可以写0 issuewild "你的域名SSL证书颁发机构"）；

6、在浏览器打开网址：SSL Server Test (Powered by Qualys SSL Labs) ，输入你正在使用SSL证书并且未到期的域名（可以是主域名或者是二级域名，如果是域名未使用SSL证书，则验证无效），验证 CAA 记录是否生效。DNS CAA显示YES表示CAA生效中。

目前，海外Route53、dyn、Cloudflare等主要DNS服务商均已支持CAA记录，但是国内的普及程度还不够。随着社会网络安全意识的整体提高，CAA记录作为加强网站安全的措施之一，将会成为金融机构、电子政务、公共服务等行业的一项网络安全基准要求，也会有越来越多的DNS服务商的支持CAA记录，CAA普及只是时间问题。