我有一个域名,比如说 sameer.com,在 namecheap 中管理。 还有一个域名,product.com,在 AWS Route53 中管理。 sameer.com 存在以下 DNS 记录: CNAME quotes.sameer.com sameer.product.com CAA sameer.com 0 issue "lenscrypt.org" 以及 product.com 的以下记录: A *.product.com <AWS_LOADBALANCER> 现在,如果我运行dig quotes.sameer.com,它会解析为 ...
我的域名提供商出于某种原因不允许在他们的 DNS 编辑器中使用 CAA 记录。当我给他们发邮件时,他们说我可以使用 TXT 记录。经过一个小时的谷歌搜索,这似乎是不正确的。我找不到任何关于使用 TXT 记录的信息。我甚至浏览了 RFC,也找不到任何关于 TXT 记录的提及。 TXT 记录是否普遍支持 CAA,或者我的域名提供商是否完全搞错了? ...
最近,Let's Encrypt 分享了他们系统中发生的一个错误,该错误导致其客户端出现证书问题。他们这样描述这个错误: 错误:当证书请求包含 N 个需要重新检查 CAA 的域名时,Boulder 会选择一个域名并检查 N 次。这在实践中意味着,如果订户在时间 X 验证了域名,并且该域名在时间 X 的 CAA 记录允许 Let's Encrypt 颁发证书,则该订户将能够在 X+30 天内颁发包含该域名的证书,即使后来有人在该域名上安装了禁止 Let's Encrypt 颁发证书的 CAA 记录。 ...
CAA 可能确保颁发的证书来自我的 CA 而不是其他 CA。 DNS 中给出: example.com. 300 IN CAA 0 issue "ca.example.com" example.com. 300 IN CAA 0 issuewild "ca.example.com" 问题1:我的CA可以使用它来颁发以下子子域名吗? a.b.c.example.com d.e.f.example.com 问题 2:如果这不可能,那么在 DNS 中执行此操作的最简单方法是什么?我们有许多子域。 ...
我有一个我控制的根域和一组子域,但其他人对它们负责。 我想为我的根域添加 CAA 保护,但不想限制子域用户使用他们选择的认证机构。 不幸的是,子域名会继承issue父域名的标签。是否有技术可能性允许任何颁发机构是否向特定子域颁发证书?空字符串表示“无人”。 ...
%20%E4%B8%AD%E4%B8%BA%20letsencrypt%20%E4%B8%AD%E7%9A%84%20ssl%20%E8%AF%81%E4%B9%A6%E6%B7%BB%E5%8A%A0%20CAA%20%E8%AE%B0%E5%BD%95%EF%BC%9F.png)
我正在尝试为域和子域添加用于安全连接 https 的 SSL 证书,但遇到的问题如下: DNS 问题:SERVFAIL 正在查找 DOMAIN 的 CAA DNS 问题:SERVFAIL 正在查找 SUBDOMAIN 的 CAA。 我发现我必须添加一个新的 CAA 记录才能使用它,但我不知道如何添加它。我目前使用 powerdns 并使用 poweradmin 进行管理。 我必须这样做才能修复之前的错误: 域名:DOMAIN 记录类型:CAA 值:0 issuewild “letsencrypt.org” 基本上我必须这样做但我不知道如何输入。 ...
2018 年 5 月 1 日,GitHub 宣布GitHub Pages 现已支持 HTTPS。它表明如果您使用 CNAME 或 ALIAS 记录,则您已为此功能做好了所有准备;或者,使用新的 IP 地址更新 DNS 以获取 A 记录。 然后,您可以强制执行 HTTPS: 但是,我的“强制 HTTPS”选项被禁用,并显示: 由于尚未为您的域名颁发证书,因此您的网站无法使用 这是一个需要 GitHub 时间才能完成的自动化过程;还是我应该执行的操作?从他们的自定义域故障排除页面上,它指出: 如果您选择使用证书颁发机构授权 (CAA)...
CAA 记录于 2017 年 11 月引入 Azure DNS。 今天,我尝试将其添加到我在美国东部 2 区创建的新 DNS 区域。 我使用了云 Powershell,这样就不必担心 AzureRM 模块版本问题。 $records = @() $records += New-AzureRmDnsRecordConfig -Caaflags 0 -CaaTag "issue" -CaaValue "issuernumberone.com" $records += New-AzureRmDnsRecordConfig -Caaflags 0 -CaaTa...
证书颁发机构授权 (CAA) DNS 记录类型包括一个issue参数(也issuewild),该参数指定允许为您的域颁发证书的证书颁发机构的标识符。这没问题,但有点模糊。 在设置您自己的 CAA 记录中的值时,您应该如何找出您的 CA 的确切值?对于 letsencrypt,他们提供了一份文档这里提到他们的问题标识符是letsencrypt.org,并且也记录在他们的认证实践声明第 4.2.1 节。如果我检查证书,我可以看到其中的各种字段,但是,没有一个字段与此字符串完全匹配,尽管有一些字段包含它。这似乎不是一种确保 CA 与 CAA 记录中的内容相匹配的...
我的 DNS 供应商不允许我为已定义 CNAME 记录的主机名创建 CAA 记录。我了解规范不允许在使用 CNAME 时使用其他记录类型(有一些与 DNSSEC 相关的例外情况),但这似乎不对... 仍然...为 CNAME 别名提供 CAA 记录的最佳方法是什么? ...