目錄

概述

檢測CAA記錄

添加CAA記錄

---

概述

DNS CAA（Certificate Authority Authorization）記錄是一種不太常見的DNS記錄類型，它主要用于鎖定證書頒發機構（CA）列表，以確保只有特定的CA可以為某個域名頒發SSL/TLS證書。CAA記錄是保護域名免受釣魚攻擊的安全措施，通過限制哪些CA可以為特定域名頒發證書，減少了證書意外錯誤發布的風險。

在DNS中設置CAA記錄后，只有記錄中列出的CA才能為域名（或子域名）頒發證書。如果CA機構在為域名簽發證書時執行CAA強制性檢查，發現域名存在CAA記錄且CA未獲得授權，那么將拒絕為該域名頒發證書，從而防止未授權HTTPS證書錯誤頒發。

使用 Amazon Certificate Manager (ACM) 來獲取 SSL/TLS 證書，不需要手動設置 DNS CAA 記錄來限制證書頒發機構（CA），因為 ACM 只會頒發由 A