资讯专栏INFORMATION COLUMN

给你的站点添加 DNS CAA 保护

rozbo / 1205人阅读

摘要:什么是譬如说,你的站点已经启用了,甚至已经被固化到了浏览器内部。证书颁发机构授权,简称是一项借助互联网的域名系统,使域持有人可以指定允许为其域签发证书的数字证书认证机构的技术。首先添加解析记录,指向你服务器的外网然后添加记录。

什么是 DNS CAA

譬如说,你的站点已经启用了 HSTS,甚至已经被固化到了浏览器内部。但是一个中间人仍然劫持了你的连接。你走了 HTTPS 协议?没问题,我也搞到了一个你所访问域名的 SSL 证书。要知道 SSL 连接使用的证书是服务端决定的,但是这个证书未必就是真正的域名所有人申请的。虽然普通人未必能搞到不属于你的域名的证书,但是证书颁发机构就不一样——虽然基于信誉的原因他们不太可能会这样做,但是没有任何外在的保护防止他们颁发并非由域名所有人申请的证书。

简而言之,一个有效的证书未必就是域名所有人申请的证书。就好比普通人造不出能过验钞机的假钞,但是再强大的验钞机也不能阻止造币厂监守自盗。这时就需要一个更上层的服务去验证这个“有效的证书”的合法性,这就是 DNS CAA 的作用。

DNS Certification Authority Authorization(DNS证书颁发机构授权,简称 CAA)是一项借助互联网的域名系统(DNS),使域持有人可以指定允许为其域签发证书的数字证书认证机构(CA)的技术。它会在 DNS 下发 IP 的同时,同时下发一条资源记录,标记该域名下使用的证书必须由某证书颁发机构颁发。比如我大 EOI 的官网使用了 Let"s Encrypt 颁发的免费证书,我可以同时使用 CAA 技术标记 EOI 官网域名 www.eoitek.com 使用的 SSL 证书由 Let"s Encrypt 颁发,这样就可以(在一定程度上)解决上面所述的问题。

启用 DNS CAA

CAA 是 DNS 服务器下发的记录,所以首先要 DNS 服务器支持才行。EOI官网域名购买自阿里云旗下的万网,然而万网自带的 DNS 服务并不支持 CAA 资源记录。如果想体验 CAA,还得使用国外的 DNS 服务器。支持 CAA 记录的国外 DNS 服务这里有比较详细的记录:https://sslmate.com/caa/support

笔者使用的是 Hurricane Electric Free DNS 这款号称永久免费的 DNS 服务。注册账号并邮箱验证后,添加一个新的域名,注意要填写一级域名。

首先添加 DNS 解析(A)记录,指向你服务器的外网 IP

然后添加 CAA 记录。

Name 可以直接填写顶级域名,会自动应用到多级域名。

CAA data 填写 0 issue "证书颁发机构域名"
如果如果你用 Let"s Encrypt 颁发的免费证书,CAA data 部分直接填写 0 issue "letsencrypt.org" 即可。

你还可以添加一条为 0 iodef "mailto:你的邮箱" 的 CAA 记录,表示如果发现违背 CAA 记录的情况给这个邮箱发邮件通知。

如果你仍然不太清楚如何填写 CAA 记录,可以用工具直接生成:https://sslmate.com/caa/。填写域名后点 Auto-Generate Policy,这个工具会自动查询你的网站使用了什么证书,从而生成对应的 CAA 记录数据。

填写完成后结果类似如下图(图中还添加了几条指向 EOI 公司内网的域名):

最后只需要把你域名的 DNS 服务器指向到 nsX.he.net 就好了

更改 DNS 服务器指向可能需要约两天时间生效。是否生效可以在 Hurricane Electric Free DNS 中你的域名的记录列表页查看。

检验 DNS CAA 是否生效

使用 SSL Server Test 可以很方便的检验你的域名是否启用了 DNS CAA

下面还有对应证书是否匹配当前 DNS CAA 记录的提示

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/40553.html

相关文章

  • 你的站点添加 DNS CAA 保护

    摘要:什么是譬如说,你的站点已经启用了,甚至已经被固化到了浏览器内部。证书颁发机构授权,简称是一项借助互联网的域名系统,使域持有人可以指定允许为其域签发证书的数字证书认证机构的技术。首先添加解析记录,指向你服务器的外网然后添加记录。 什么是 DNS CAA 譬如说,你的站点已经启用了 HSTS,甚至已经被固化到了浏览器内部。但是一个中间人仍然劫持了你的连接。你走了 HTTPS 协议?没问题,...

    wushuiyong 评论0 收藏0
  • 如何打造一个安全满分网站

    摘要:继上一篇如何打造一个全满分网站之后,这一次我们来谈谈如何打造一个在安全方面也能打满分的网站。无论如何,我们把一个安全得分只有的网站,通过各种方法优化到了得分为,是不是小有成就感呢你也来试一试吧 继上一篇《如何打造一个全满分网站》之后,这一次我们来谈谈如何打造一个在安全方面也能打满分的网站。因为对于一个网站来讲,仅有功能是不够的,还需要考虑性能,仅有性能也不够,还需要考虑安全。 由于网站...

    张巨伟 评论0 收藏0
  • 免费开启Cloudflare Railgun加速-减少连接延迟 实现动态页面缓存和加速

    Cloudflare Railgun是 Cloudflare 专门为 Business 和 Enterprise 企业级客户提供的终极加速方案。要使用它,先需要升级网站套餐为 Business 或 Enterprise,然后还需要在服务器上安装必要软件并在 Cloudflare 上完成配置。Cloudflare的商业套餐适合土豪使用。不过,我们还有一个方法就是申请Cloudflare Partne...

    番茄西红柿 评论0 收藏2637
  • 简述CDN 什么是CDN 为什么要用CDN CDN适用场景

    摘要:用户向缓存服务器发起请求,缓存服务器响应用户请求,将用户所需内容传送到用户终端。当处理器引用存储器中的某地址时,高速缓冲存储器便检查是否存有该地址。 考虑到对CDN认知程度的各层小伙伴,开头有必要简单介绍下CDN原理(高年级同学可以直接跳过): 一、CDN的基本原理和基础架构 CDN是将源站内容分发至最接近用户的节点,使用户可就近取得所需内容,提高用户访问的响应速度和成功率。解决因分布...

    番茄西红柿 评论0 收藏0
  • 简述CDN 什么是CDN 为什么要用CDN CDN适用场景

    摘要:用户向缓存服务器发起请求,缓存服务器响应用户请求,将用户所需内容传送到用户终端。当处理器引用存储器中的某地址时,高速缓冲存储器便检查是否存有该地址。 考虑到对CDN认知程度的各层小伙伴,开头有必要简单介绍下CDN原理(高年级同学可以直接跳过): 一、CDN的基本原理和基础架构 CDN是将源站内容分发至最接近用户的节点,使用户可就近取得所需内容,提高用户访问的响应速度和成功率。解决因分布...

    didikee 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<