1. 聚能聊>
  2. 话题详情

阿里云CAA记录,让证书误签发不再发生

什么是CAA记录?

CAA,全称Certificate Authority Authorization,即证书颁发机构授权。它为了改善PKI(Public Key Infrastructure:公钥基础设施)生态系统强度、减少证书意外错误发布的风险,通过DNS机制创建CAA资源记录,从而限定了特定域名颁发的证书和CA(证书颁发机构)之间的联系。从此,再也不能是任意CA都可以为任意域名颁发证书了。

关于CAA记录,其实早在4年前便在RFC 6844中有定义,但由于种种原因配置该DNS资源记录的网站寥寥无几。如今,SSL证书在颁发之前对域名强制CAA检查,就对想要https访问的网站域名提出了解析配置的要求。

2017_12_09_102630

我们为什么需要呢?

2015年发生过一起著名的沃通误签发GitHub域名SSL证书事件,用户在使用schrauger.github.com以及schrauger.github.io的个人子页面权限,获取沃通信任后,成功拿到了github.com、github.io、www.github.io这几个域名的证书。此时,如果把用户的访问流量劫持到本地服务器,那么浏览器就能访问位于本地的伪造GitHub钓鱼网站,HTTPS安全加密通信将没有任何作用。

现如今,大众都需要保护自己的隐私,我们不希望被网络劫持,不希望当访客访问自己网站出现运营商广告,当启用https之后,还可能遭遇误签发,安全无小事,你对阿里云推出的CAA记录怎么看?

1.你遇到过网络劫持吗?

2..你的网站使用了SSL证书吗?

3.你了解CAA,会使用CAA吗?

参与话题

奖品区域 活动规则 已 结束

  • 奖品一

    云栖定制鼠标垫 x 1

  • 奖品二

    虾米VIP月卡 x 2

13个回答

1

aoteman675 已获得云栖定制鼠标垫 复制链接去分享

1.你遇到过网络劫持吗?
我遇到过DNS劫持
2..你的网站使用了SSL证书吗?
SSL证书是必须的,不然无法被认为是可信站点,在一些用户访问下会被禁止访问,所以网站建站安装证书和域名备案都是重要环节。
3.你了解CAA,会使用CAA吗?
CAA证书成熟之后会在以后项目中使用CAA,目前项目主要以SSL为主。毕竟CAA也是需要一个测试的过程,正式发布项目,不论是架构还是网络安全都要成熟。

我的中国 回复

国内发展感觉没有驱动力,还在跟着外面走

aoteman675 回复

对的,没有形成一套行业规范

评论
1

北方的郎 已获得虾米VIP月卡 复制链接去分享

1.你遇到过网络劫持吗?
这个还真没有遇到过。

2..你的网站使用了SSL证书吗?
我参与建设过的网站大部分都用了SSL证书,有的是软证书有的是加密锁,毕竟大多是对访问和认证安全有一定要求的系统。

3.你了解CAA,会使用CAA吗?
刚开始了解,估计未来会使用吧。

0

雷侠 已获得虾米VIP月卡 复制链接去分享

1.你遇到过网络劫持吗?
有,dns的劫持。
明明别人的网站就没有广告,而我访问的时候,整个网站都是广告。

2..你的网站使用了SSL证书吗?
有。后来取消了,访问的时候老是说不安全,有点烦,就取消了。

3.你了解CAA,会使用CAA吗?
不太了解。

0

1571711258257572 复制链接去分享

我在网站上注册自己的信息,为什么会信息会泄露出去,几次出现被骚扰,甚至被人敲诈?

我的中国 回复

备案信息 邮箱信息 很多地方都可能会有遗漏

评论
0

xiaoping55520 复制链接去分享

没有遇到过dns劫持现象 一直用的ssl证书 其它证书没尝试过

0

xiaoping55520 复制链接去分享

没有遇到过

0

1277914370539357 复制链接去分享

保证网页安全性

0

大唐商务 复制链接去分享

没想过,没遇到过

0

宇杰1 复制链接去分享

我不懂

0

我的人是 复制链接去分享

什么情况

0

1495613137019858 复制链接去分享

不懂

0

1627213139287068 复制链接去分享

没有遇到过

0

1377490698423376 复制链接去分享

接触的都是小网站,暂时没有遇到劫持