目录

概述

检测CAA记录

添加CAA记录

---

概述

DNS CAA（Certificate Authority Authorization）记录是一种不太常见的DNS记录类型，它主要用于锁定证书颁发机构（CA）列表，以确保只有特定的CA可以为某个域名颁发SSL/TLS证书。CAA记录是保护域名免受钓鱼攻击的安全措施，通过限制哪些CA可以为特定域名颁发证书，减少了证书意外错误发布的风险。

在DNS中设置CAA记录后，只有记录中列出的CA才能为域名（或子域名）颁发证书。如果CA机构在为域名签发证书时执行CAA强制性检查，发现域名存在CAA记录且CA未获得授权，那么将拒绝为该域名颁发证书，从而防止未授权HTTPS证书错误颁发。

使用 Amazon Certificate Manager (ACM) 来获取 SSL/TLS 证书，不需要手动设置 DNS CAA 记录来限制证书颁发机构（CA），因为 ACM 只会颁发由 A