CAA 紀錄¶
CAA 紀錄是一種 DNS 紀錄,您在與憑證授權商 (CA) 取得 SSL 憑證的驗證過程中會使用到的額外紀錄。CAA 紀錄能指定哪些憑證授權商可以簽署網域的憑證 (請參閱 RFC)。
範例¶
下列是 CAA 紀錄的範例:
當您使用文字模式檢視區域檔紀錄時, 若您是從 Gandi 購買 SSL 憑證,CAA 紀錄的標準語法 將遵循以下模式:
@ IN CAA 0 issue "sectigo.com"
@ IN CAA 0 issuewild "sectigo.com"
您也可以在同一個域名下,同時擁有不同憑證授權商 (CA) 的 CAA 紀錄,例如:
@ IN CAA 0 issue "sectigo.com"
@ IN CAA 0 issue "letsencrypt.org"
CAA 紀錄值的含意¶
如果您使用「表格模式」來新增紀錄,您會看到以下欄位:
類型:此欄位顯示 CAA 表示此紀錄類型屬於 CAA 紀錄,用來授權 CA 簽發 SSL 憑證給此網域名稱。
TTL (暫存時間): 此紀錄的暫存時間,以秒為單位,預設值為 10800。
名稱:主域名時請保留空白 (@),或輸入您要簽署的子域名。
旗標:預設值為 0,如果您設定為 1,CA 會因為不支援此數值而中斷驗證。
標籤:請選擇以下之一:
一般憑證 (issue):授權 CA 簽發一般憑證給此域名。
萬用憑證 (issuewild):授權 CA 簽發萬用憑證給此域名。
錯誤連結 (iodef):CA 會寄送錯誤訊息到此網址,格式為 Incident Object Description Exchange Format。