我的 DNS 供应商不允许我为已定义 CNAME 记录的主机名创建 CAA 记录。我了解规范不允许在使用 CNAME 时使用其他记录类型(有一些与 DNSSEC 相关的例外情况),但这似乎不对...
仍然...为 CNAME 别名提供 CAA 记录的最佳方法是什么?
答案1
CAA 记录应该遵循 CNAME,因此您需要一个 CAA 记录作为 CNAME 记录的目标。
引用https://letsencrypt.org/docs/caa/
CAA 验证遵循 CNAME,就像所有其他 DNS 请求一样。如果 www.community.example.com 是 web1.example.net 的 CNAME,则 CA 将首先请求 www.community.example.com 的 CAA 记录,然后看到该域名有 CNAME 而不是 CAA 记录,将改为请求 web1.example.net 的 CAA 记录。请注意,如果域名有 CNAME 记录,则根据 DNS 标准不允许有任何其他记录。
尝试“规避”这一点不会有帮助,因为即使您创建了与 CNAME 并行的非法 CAA 记录,遵循规范的客户端也会忽略它。