证书颁发机构授权(CAA)常见问题解答
证书颁发机构授权(CAA)常见问题解答
本文回答了有关 CAA DNS 记录的几个常见问题。
本文内容
- 什么是 CAA?
- Cloudflare 如何评估 CAA 记录?
- 如果我的 CAA 记录不包括颁发 Universal SSL,为什么必须禁用 Universal SSL?
- 要启用 Universal SSL,需要添加哪些记录?
- 禁用 Universal SSL 时会发生什么?
- 如何重新启用 Universal SSL?
- 设置 CAA 记录有哪些危险?
证书颁发机构授权(CAA)记录允许域所有者将颁发限制为指定的证书颁发机构(CA)。_CAA 记录_可阻止 CA 在某些情况下颁发证书。 有关更多详细信息,请参阅 RFC 6844。
Cloudflare 如何评估 CAA 记录?
_CAA 记录_由 CA 评估,而不是由 Cloudflare 评估。
如果我的 _CAA 记录_排除了颁发 Universal SSL,为什么必须禁用 Universal SSL?
由于 Universal SSL 证书在客户之间共享,因此您的 _CAA 记录_可能会阻止颁发其他客户的 Universal SSL。因此,Cloudflare 必须为您的域禁用 Universal SSL,以确保您的 _CAA 记录_不会影响其他客户。
如果您不需要 Cloudflare 提供的 Universal SSL,请在 SSL/TLS 应用中禁用 Universal SSL。
要启用 Universal SSL,需要添加哪些记录?
如果您继续使用 Cloudflare 的免费 Universal SSL 证书,则会自动设置以下 DNS 记录:
example.com.IN CAA 0 issue "comodoca.com"example.com.IN CAA 0 issue "digicert.com"example.com.IN CAA 0 issue "letsencrypt.org"example.com.IN CAA 0 issuewild "comodoca.com"example.com.IN CAA 0 issuewild "digicert.com"example.com.IN CAA 0 issuewild "letsencrypt.org"单独使用时,issuewild 只允许颁发通配符证书。 因此,除非您在标记下拉列表中指定_允许通配符和特定主机名_选项,否则 Cloudflare 无法将您的根域添加到证书中:
禁用 Universal SSL 时会发生什么?
您的域名将立即从 Universal SSL 证书中移除,除非您 上传自定义 SSL 证书(需要 Business 或 Enterprise Plan),否则您的用户将观察到 SSL 错误。
如何重新启用 Universal SSL?
向 Cloudflare 支持部门提交支持票证。
设置 CAA 记录有哪些危险?
如果您属于大型组织的成员或多方负责获取 SSL 证书的组织,请包括允许颁发适用于您组织的所有 CA 的 CAA 记录。 如果不这样做,可能会无意中阻止为组织中的其他部分颁发 SSL。