域名ssl和caa记录等知识记录整理

域名CAA记录

简单的说 CAA记录就是只允许域名从指定的证书签发机构申请证书.

作用对日常操作来说其实就是因为签发机构可能会检查caa记录.

理论上从2017年之后，所有证书签发机构都是要强制检查caa记录的，但是实际….

从安全角度来说，就你可以限制，只有指定的证书机构可以给你域名颁发证书

CAA记录作用域

@ 作用到全局

subdomain.leiyanhui.com 就只作用到subdomain.leiyanhui.com 这个域名和这个域名的下级域

但是部分签发机构会审核子域名的caa记录,就需要手动添加了

常用记录

1
2
3
4
5
6
0 issue "trust-provider.com"
0 issue "letsencrypt.org"

example.com. CAA 0 issue "quovadisglobal.com"
example.com. CAA 0 issuewild "quovadisglobal.com"
example.com. CAA 0 iodef "mailto:cert-admin@example.com"

通知邮箱

1
0 iodef "mailto:joyanhui@qq.com"

常用免费ssl证书

letsencrypt

可以简单用脚本续签，支持泛域名（有效期三个月），对老设备旧浏览器兼容性差一些

续签是需要重新部署的哦.

国内很多地方都可以在线申请,宝塔也内置了申请和自动续签,以及自动部署的脚本

适合自有服务器环境，适合泛域名环境。github的pages 是使用他家的

DigiCert

阿里云可以申请一个账号只可以申请20个，单一域名，有效期一年，对老设备旧浏览器兼容性几乎是最好的。 DigiCert 虽然很高大上,但是免费版现在好像没有用国内cdn了.

申请网站：阿里云、华为云

TrustAsia

TrustAsia 据说是DigiCert的代理商,免费版貌似也是没有国内cdn的

自2022年03月03日22:00:00起，TrustAsia 根证书签发由 Digicert 根证书变更为 Sectigo 根证书。

有效期1年，www.xxx.com 会送 xxx.com ，无法续签，重新申请。对老设备旧浏览器兼容性几乎是最好的。部分网站支持 3个月的通配符域名申请

适合cdn用自己记得每年重新申请就好。腾讯云一个账号可以申请20个. 申请网站：腾讯云，又拍云，七牛云 https://freessl.cn/

cloudflare

有效期15年, 只适合cf代理的站点,不怎么适合国内使用

Sectigo

letsencrypt 一样 3个月，其他不明没用过

同一个域名允许多个caa颁发机构

重复添加多条记录就可以了. 一开始我以为用什么特殊符号分割的。实际不是

其他一些别名的问题

子域名caa

部分厂商下发ssl 会同时检查根域名和子域名的caa记录, 需要添加

cname 和 caa冲突的问题

先暂停cname记录,然后ping一下ip 获得ip后添加A记录先

然后添加对应记录的caa,然后申请,证书下发后,删除A记录恢复 cname

常用caa记录

1
2
3
4
5
6
SecureSite	0 issue "digicert.com"	0 issuewild "digicert.com"
GeoTrust	0 issue "digicert.com"	0 issuewild "digicert.com"
TrustAsia	0 issue "trust-provider.com"	0 issuewild "trust-provider.com"
GlobalSign	0 issue "globalsign.com"	0 issuewild "globalsign.com"
WoTrus	0 issue "wotrus.com"	0 issuewild " wotrus.com"
DNSPod（国密标准（SM2））	0 issue "wotrus.com"	0 issuewild " wotrus.com"