证书颁发机构授权(CAA)常见问题解答

本文回答了有关 CAA DNS 记录的几个常见问题。


什么是 CAA?

证书颁发机构授权(CAA)记录允许域所有者将颁发限制为指定的证书颁发机构(CA)。CAA 记录可阻止 CA 在某些情况下颁发证书。  有关更多详细信息,请参阅 RFC 6844


Cloudflare 如何评估 CAA 记录?

CAA 记录由 CA 评估,而不是由 Cloudflare 评估。

设置 CAA 记录以指定一个或多个特定 CA 不会影响 Cloudflare 将用于为您的域颁发 Universal 或 Dedicated SSL Certificate 的 CA。

如果我的 CAA 记录排除了颁发 Universal SSL,为什么必须禁用 Universal SSL?

由于 Universal SSL 证书在客户之间共享,因此您的 CAA 记录可能会阻止颁发其他客户的 Universal SSL。因此,Cloudflare 必须为您的域禁用 Universal SSL,以确保您的 CAA 记录不会影响其他客户。

如果为您的域启用了 Cloudflare 的 Universal SSL,则会自动为 Universal SSL 提供商 comodoca.com、digicert.com 和 letsencrypt.org 添加 CAA 记录

如果您不需要 Cloudflare 提供的 Universal SSL,请在 SSL/TLS 应用中禁用 Universal SSL

除非您已上传自定义 SSL 证书(需要 Business 或 Enterprise Plan),否则禁用 Universal SSL 将在不支持 SSL 的情况下保留启用 Cloudflare 的 DNS 记录。

要启用 Universal SSL,需要添加哪些记录?

如果您继续使用 Cloudflare 的免费 Universal SSL 证书,则会自动设置以下 DNS 记录:

example.com.IN CAA 0 issue "comodoca.com"example.com.IN CAA 0 issue "digicert.com"example.com.IN CAA 0 issue "letsencrypt.org"example.com.IN CAA 0 issuewild "comodoca.com"example.com.IN CAA 0 issuewild "digicert.com"example.com.IN CAA 0 issuewild "letsencrypt.org"
对于将使用 Cloudflare 的 Universal SSL 的任何域,不要对根记录使用仅允许通配符选项(该选项仅返回 issuewild 记录)。

单独使用时,issuewild 允许颁发通配符证书。  因此,除非您在标记下拉列表中指定允许通配符和特定主机名选项,否则 Cloudflare 无法将您的根域添加到证书中:

configuring_caa_records_comodoca_annotated.png


禁用 Universal SSL 时会发生什么?

您的域名将立即从 Universal SSL 证书中移除,除非您上传自定义 SSL 证书(需要 Business 或 Enterprise Plan),否则您的用户将观察到 SSL 错误。


如何重新启用 Universal SSL?

向 Cloudflare 支持部门提交支持票证。


设置 CAA 记录有哪些危险?

如果您属于大型组织的成员或​​多方负责获取 SSL 证书的组织,请包括允许颁发适用于您组织的所有 CA 的 CAA 记录。  如果不这样做,可能会无意中阻止为组织中的其他部分颁发 SSL。

 

 

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

由 Zendesk 提供技术支持