1. 首页
2. 证书相关
3. CAA检查成为强制 保护域名所有者免于误签发证书

CAA检查成为强制 保护域名所有者免于误签发证书

发布日期：2017-06-13

证书颁发机构授权（CAA）是一种可选的安全措施，网站运营商可以使用这些措施来保护其域名免于错误发布。

它允许域所有者指定哪些证书颁发机构（CA）被允许为其网站颁发证书。CAA被配置为DNS记录。想要使用CAA的域所有者可以创建一个DNS记录，包含能为其颁发证书的CA列表。

CAB论坛在上月批准了一项提案，即，从2017年9月8日起，所有CA将被要求检查并遵守域的CAA记录。

为什么要强制CAA检查？

任何一个CA都有能力影响整个互联网的安全。浏览器运送大约100个根证书，包括政府拥有的根证书和一些难以描述的区域性CA。

任何一个CA都可以给你的域名颁发证书，而在历史上，那些小且不知名的CA常常是黑客利用的对象，或者在没有正确验证的情况下发出证书。

虽然不少诸如证书透明度和名称约束等措施的存在也是为了限制这些根证书的权力，CAA为域名所有者提供了另一个防线。

目前，全球只有几百个使用CAA的网站。之所以用的人这么少，其原因有二：

• 在这次提案投票通过前，CAA不是强制性的，因而也算不上真正的安全措施。
• CAA有它自己的DNS记录类型，这就需要DNS提供商为其添加支持。

如今CAA检查成为强制，第一个障碍已被照顾。这将大大增加用户部署CAA的兴趣，并鼓励供应商支持CAA。

上一篇：巴西银行Banrisul被黑 Let’s Encrypt成背锅侠

下一篇：Wired: 揭秘黑客是如何控制一家银行的整个在线业务的

相关新闻

• SSL证书对网站访问速度有影响吗
• 个人隐私数据泄露有哪些危害？如何预防？
• 部署SSL证书有哪些常见的错误
• 国际证书、国产证书和国密证书
• 游戏开发为什么离不开代码签名？
• 僵尸网络攻击手法与防范方式
• SSL证书助力保障网络数据安全
• 网站加密与不加密区别
• SSL证书有哪些类型和价格差异
• ca机构颁发的证书包括那些内容呢？