阿里云CAA记录，让证书误签发不再发生-聚能聊-云栖社区-阿里云

阿里云CAA记录，让证书误签发不再发生

什么是CAA记录？

CAA，全称Certificate Authority Authorization，即证书颁发机构授权。它为了改善PKI（Public Key Infrastructure：公钥基础设施）生态系统强度、减少证书意外错误发布的风险，通过DNS机制创建CAA资源记录，从而限定了特定域名颁发的证书和CA（证书颁发机构）之间的联系。从此，再也不能是任意CA都可以为任意域名颁发证书了。

关于CAA记录，其实早在4年前便在RFC 6844中有定义，但由于种种原因配置该DNS资源记录的网站寥寥无几。如今，SSL证书在颁发之前对域名强制CAA检查，就对想要https访问的网站域名提出了解析配置的要求。

2017_12_09_102630

我们为什么需要呢？

2015年发生过一起著名的沃通误签发GitHub域名SSL证书事件，用户在使用schrauger.github.com以及schrauger.github.io的个人子页面权限，获取沃通信任后，成功拿到了github.com、github.io、www.github.io这几个域名的证书。此时，如果把用户的访问流量劫持到本地服务器，那么浏览器就能访问位于本地的伪造GitHub钓鱼网站，HTTPS安全加密通信将没有任何作用。

现如今，大众都需要保护自己的隐私，我们不希望被网络劫持，不希望当访客访问自己网站出现运营商广告，当启用https之后，还可能遭遇误签发，安全无小事，你对阿里云推出的CAA记录怎么看？

1.你遇到过网络劫持吗？

2..你的网站使用了SSL证书吗？

3.你了解CAA，会使用CAA吗？

参与话题

奖品区域活动规则已结束

奖品一

云栖定制鼠标垫 x 1
奖品二

虾米VIP月卡 x 2

获奖情况：

雷侠获得了虾米VIP月卡北方的郎获得了虾米VIP月卡 aoteman675 获得了云栖定制鼠标垫

13个回答

: 1

aoteman675 已获得云栖定制鼠标垫复制链接去分享

1.你遇到过网络劫持吗？
我遇到过DNS劫持
2..你的网站使用了SSL证书吗？
SSL证书是必须的，不然无法被认为是可信站点，在一些用户访问下会被禁止访问，所以网站建站安装证书和域名备案都是重要环节。
3.你了解CAA，会使用CAA吗？
CAA证书成熟之后会在以后项目中使用CAA，目前项目主要以SSL为主。毕竟CAA也是需要一个测试的过程，正式发布项目，不论是架构还是网络安全都要成熟。

我的中国 2017-12-14 10:54:46 回复

国内发展感觉没有驱动力，还在跟着外面走

aoteman675 2017-12-14 11:07:46 回复

回复@我的中国：

对的，没有形成一套行业规范

: 1

北方的郎 已获得虾米VIP月卡复制链接去分享

1.你遇到过网络劫持吗？
这个还真没有遇到过。

2..你的网站使用了SSL证书吗？
我参与建设过的网站大部分都用了SSL证书，有的是软证书有的是加密锁，毕竟大多是对访问和认证安全有一定要求的系统。

3.你了解CAA，会使用CAA吗？
刚开始了解，估计未来会使用吧。

: 0

雷侠已获得虾米VIP月卡复制链接去分享

1.你遇到过网络劫持吗？
有，dns的劫持。
明明别人的网站就没有广告，而我访问的时候，整个网站都是广告。

2..你的网站使用了SSL证书吗？
有。后来取消了，访问的时候老是说不安全，有点烦，就取消了。

3.你了解CAA，会使用CAA吗？
不太了解。

: 0

1571711258257572 复制链接去分享

我在网站上注册自己的信息，为什么会信息会泄露出去，几次出现被骚扰，甚至被人敲诈？

我的中国 2017-12-13 14:43:15 回复

备案信息邮箱信息很多地方都可能会有遗漏

: 0

xiaoping55520 复制链接去分享

没有遇到过dns劫持现象一直用的ssl证书其它证书没尝试过

: 0

xiaoping55520 复制链接去分享

没有遇到过

: 0

1277914370539357 复制链接去分享

保证网页安全性

: 0

大唐商务 复制链接去分享

没想过，没遇到过

: 0

宇杰1 复制链接去分享

我不懂

: 0

我的人是 复制链接去分享

什么情况

: 0

1495613137019858 复制链接去分享

不懂

: 0

1627213139287068 复制链接去分享

没有遇到过

: 0

1377490698423376 复制链接去分享

接触的都是小网站，暂时没有遇到劫持