強制CAA檢查的提議

2017年3月7日，CA|B Forum （一個全球證書頒發機構與瀏覽器的技術論壇）發起了一項關于對域名強制檢查CAA的一項提議的投票，獲得187票支持，投票有效，提議通過。

提議通過后，將于2017年9月8日根據Mozilla的Gervase Markham提出的檢查CAA記錄作為基準要求來實施。

什么是CAA記錄？

CAA，全稱Certificate Authority Authorization，即證書頒發機構授權。它為了改善PKI（Public Key Infrastructure：公鑰基礎設施）生態系統強度、減少證書意外錯誤發布的風險，通過DNS機制創建CAA資源記錄，從而限定了特定域名頒發的證書和CA（證書頒發機構）之間的聯系。從此，再也不能是任意CA都可以為任意域名頒發證書了。

關于CAA記錄，其實早在4年前便在RFC 6844中有定義，但由于種種原因配置該DNS資源記錄的網站寥寥無幾。如今，SSL證書在頒發之前對域名強制CAA檢查，就對想要https訪問的網站域名提出了解析配置的要求。

CAA資源記錄詳解

CAA記錄可以控制單域名SSL證書的發行，也可以控制通配符證書。當域名存在CAA記錄時，則只允許在記錄中列出的CA頒發針對該域名（或子域名）的證書。

在域名解析配置中，咱們可以為整個域（如example.com）或者特定的子域（如subzone.example.com）設置CAA策略。當為整域設置CAA資源記錄時，該CAA策略將同時應用于該域名下的任一子域，除非被已設置的子域策略覆蓋。

CAA記錄格式

CAA記錄格式由以下元素組成：

CAA <flags> <tag> <value>

釋義：

<flags>定義為0~255無符號整型，取值：

Issuer Critical Flag：0

1~7為保留標記

<tag>定義為US-ASCII和0~9，取值：

CA授權任何類型的域名證書（Authorization Entry by Domain） : issue

CA授權通配符域名證書（Authorization Entry by Wildcard Domain） : issuewild

指定CA可報告策略違規（Report incident by IODEF report） : iodef

auth、path和policy為保留標簽

<value>定義為八位字節序列的二進制編碼字符串，一般填寫格式為：

[domain] [";" * 參數]

CAA資源記錄示例

當需要限制域名example.com及其子域名可由機構letsencrypt頒發不限類型的證書，同時可由Comodo頒發通配符證書，其他一律禁止，并且當違反配置規則時，發送通知郵件到example@example.com。

配置如下（為便于理解，二進制Value值已經過轉碼，下同）：

example.com.  CAA 0 issue "letsencrypt.org"example.com.  CAA 0 issuewild "comodoca.com"example.com.  CAA 0 iodef "mailto:example@example.com"

如果子域名有單獨列出證書頒發要求，例如：

example.com.  CAA 0 issue "letsencrypt.org"alpha.example.com.  CAA 0 issue "comodoca.com"

那么，因子域策略優先，所以只有Comodo可以為域名alpha.example.com.頒發證書。