資訊專欄INFORMATION COLUMN
摘要:什么是譬如說,你的站點已經啟用了,甚至已經被固化到了瀏覽器內部。證書頒發機構授權,簡稱是一項借助互聯網的域名系統,使域持有人可以指定允許為其域簽發證書的數字證書認證機構的技術。首先添加解析記錄,指向你服務器的外網然后添加記錄。
什么是 DNS CAA
譬如說,你的站點已經啟用了 HSTS,甚至已經被固化到了瀏覽器內部。但是一個中間人仍然劫持了你的連接。你走了 HTTPS 協議?沒問題,我也搞到了一個你所訪問域名的 SSL 證書。要知道 SSL 連接使用的證書是服務端決定的,但是這個證書未必就是真正的域名所有人申請的。雖然普通人未必能搞到不屬于你的域名的證書,但是證書頒發機構就不一樣——雖然基于信譽的原因他們不太可能會這樣做,但是沒有任何外在的保護防止他們頒發并非由域名所有人申請的證書。
簡而言之,一個有效的證書未必就是域名所有人申請的證書。就好比普通人造不出能過驗鈔機的假鈔,但是再強大的驗鈔機也不能阻止造幣廠監守自盜。這時就需要一個更上層的服務去驗證這個“有效的證書”的合法性,這就是 DNS CAA 的作用。
DNS Certification Authority Authorization(DNS證書頒發機構授權,簡稱 CAA)是一項借助互聯網的域名系統(DNS),使域持有人可以指定允許為其域簽發證書的數字證書認證機構(CA)的技術。它會在 DNS 下發 IP 的同時,同時下發一條資源記錄,標記該域名下使用的證書必須由某證書頒發機構頒發。比如我大 EOI 的官網使用了 Let"s Encrypt 頒發的免費證書,我可以同時使用 CAA 技術標記 EOI 官網域名 www.eoitek.com 使用的 SSL 證書由 Let"s Encrypt 頒發,這樣就可以(在一定程度上)解決上面所述的問題。
啟用 DNS CAACAA 是 DNS 服務器下發的記錄,所以首先要 DNS 服務器支持才行。EOI官網域名購買自阿里云旗下的萬網,然而萬網自帶的 DNS 服務并不支持 CAA 資源記錄。如果想體驗 CAA,還得使用國外的 DNS 服務器。支持 CAA 記錄的國外 DNS 服務這里有比較詳細的記錄:https://sslmate.com/caa/support
筆者使用的是 Hurricane Electric Free DNS 這款號稱永久免費的 DNS 服務。注冊賬號并郵箱驗證后,添加一個新的域名,注意要填寫一級域名。
首先添加 DNS 解析(A)記錄,指向你服務器的外網 IP
然后添加 CAA 記錄。
Name 可以直接填寫頂級域名,會自動應用到多級域名。
CAA data 填寫 0 issue "證書頒發機構域名"。
如果如果你用 Let"s Encrypt 頒發的免費證書,CAA data 部分直接填寫 0 issue "letsencrypt.org" 即可。
你還可以添加一條為 0 iodef "mailto:你的郵箱" 的 CAA 記錄,表示如果發現違背 CAA 記錄的情況給這個郵箱發郵件通知。
如果你仍然不太清楚如何填寫 CAA 記錄,可以用工具直接生成:https://sslmate.com/caa/。填寫域名后點 Auto-Generate Policy,這個工具會自動查詢你的網站使用了什么證書,從而生成對應的 CAA 記錄數據。
填寫完成后結果類似如下圖(圖中還添加了幾條指向 EOI 公司內網的域名):
最后只需要把你域名的 DNS 服務器指向到 nsX.he.net 就好了
更改 DNS 服務器指向可能需要約兩天時間生效。是否生效可以在 Hurricane Electric Free DNS 中你的域名的記錄列表頁查看。
檢驗 DNS CAA 是否生效使用 SSL Server Test 可以很方便的檢驗你的域名是否啟用了 DNS CAA
下面還有對應證書是否匹配當前 DNS CAA 記錄的提示
完文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/11288.html
摘要:什么是譬如說,你的站點已經啟用了,甚至已經被固化到了瀏覽器內部。證書頒發機構授權,簡稱是一項借助互聯網的域名系統,使域持有人可以指定允許為其域簽發證書的數字證書認證機構的技術。首先添加解析記錄,指向你服務器的外網然后添加記錄。 什么是 DNS CAA 譬如說,你的站點已經啟用了 HSTS,甚至已經被固化到了瀏覽器內部。但是一個中間人仍然劫持了你的連接。你走了 HTTPS 協議?沒問題,...
摘要:繼上一篇如何打造一個全滿分網站之后,這一次我們來談談如何打造一個在安全方面也能打滿分的網站。無論如何,我們把一個安全得分只有的網站,通過各種方法優化到了得分為,是不是小有成就感呢你也來試一試吧 繼上一篇《如何打造一個全滿分網站》之后,這一次我們來談談如何打造一個在安全方面也能打滿分的網站。因為對于一個網站來講,僅有功能是不夠的,還需要考慮性能,僅有性能也不夠,還需要考慮安全。 由于網站...
Cloudflare Railgun是 Cloudflare 專門為 Business 和 Enterprise 企業級客戶提供的終極加速方案。要使用它,先需要升級網站套餐為 Business 或 Enterprise,然后還需要在服務器上安裝必要軟件并在 Cloudflare 上完成配置。Cloudflare的商業套餐適合土豪使用。不過,我們還有一個方法就是申請Cloudflare Partne...
摘要:用戶向緩存服務器發起請求,緩存服務器響應用戶請求,將用戶所需內容傳送到用戶終端。當處理器引用存儲器中的某地址時,高速緩沖存儲器便檢查是否存有該地址。 考慮到對CDN認知程度的各層小伙伴,開頭有必要簡單介紹下CDN原理(高年級同學可以直接跳過): 一、CDN的基本原理和基礎架構 CDN是將源站內容分發至最接近用戶的節點,使用戶可就近取得所需內容,提高用戶訪問的響應速度和成功率。解決因分布...
摘要:用戶向緩存服務器發起請求,緩存服務器響應用戶請求,將用戶所需內容傳送到用戶終端。當處理器引用存儲器中的某地址時,高速緩沖存儲器便檢查是否存有該地址。 考慮到對CDN認知程度的各層小伙伴,開頭有必要簡單介紹下CDN原理(高年級同學可以直接跳過): 一、CDN的基本原理和基礎架構 CDN是將源站內容分發至最接近用戶的節點,使用戶可就近取得所需內容,提高用戶訪問的響應速度和成功率。解決因分布...
閱讀 1172·2021-11-11 16:55
閱讀 3061·2021-08-16 11:00
閱讀 2906·2019-08-30 15:56
閱讀 3444·2019-08-30 11:24
閱讀 3424·2019-08-30 11:05
閱讀 3540·2019-08-29 15:15
閱讀 2624·2019-08-26 13:57
閱讀 2584·2019-08-23 18:17
