SSL证书的CAA检查

 

 

GlobalSign 新闻中心

28 2017

SSL证书的CAA检查


根据CA / B论坛的187号投票——要求CAA检查是强制性的, GlobalSign将于2017年8月28日起对SSL证书实行CAA检查。因此,在所有公开受信任的SSL证书的订购流程中以及MSSL管理颁发的证书,CAA将作为域审核的一部分进行验证,其中SSL证书订购包括:AlphaSSL,DomainSSL,OrganizationSSL,ExtendedSSL,CloudSSL和CloudSSL SAN。对于域验证的SSL产品来说,如果CAA设置不正确将在域名验证步骤中遭到警告;如果您已经购买了更高级别的验证产品,而您的DNS CAA记录与GlobalSign不兼容,将会有审核人员联系您。

进行这种变更是为了利用新的控制手段提高PKI(Public Key Infrastructure:公钥基础设施)生态系统的强度,限制哪些CA(Certification Authorities,证书颁发机构)可以为某个特定域名颁发证书。CA/B论坛最近投票决定强制将CAA检查作为基线要求的一部分。CA将有义务检查DNS CAA记录并给那些设置予以认证。如果不存在DNS CAA记录,任何CA都可以为该域名颁发证书。如果存在DNS CAA记录,则只有记录列表里的CA才允许为该域名颁发证书。另外,当处理DNS CAA记录时,GlobalSign将处理RFC 6844中指定的issue、issuewild和iodef的证书属性标签。


时间轴

2017.8.28   GlobalSign对SSL证书实行CAA检查

2017.9.8    CAB论坛上CA通过对SSL证书的CAA检查的截止日期


常见错误

错误信息

原因

解决方案

在您的证书中,一个或多个SAN值的CAA检查失败。请更新您的DNS CAA记录并再次尝试批准。

我们的系统检测到您的DNS CAA记录包含条目,但“globalsign.com”不在其中。

在你的CAA条目中加入“globalsign.com”,然后再试一次。请注意,这可能需要一个小时的时间来传播,以确保DNS CAA记录缓存已经被清除。

example.org: example.org: issue=different.issuer.com

caatag.example.org: caatag.example.org issue=different.issuer.com

sub.caatag.example.org: caatag.example.org: issue=different.issuer.com

cname.sub.example.org: cname.target.example.org: issue=different.issuer.com;

CNAME"
critical.example.org: critical.example.org: invalidtag=globalsign.com;

CRITICAL",
cname.critical.example.org: critical.cname.target.example.org: invalidtag=globalsign.com; CNAME CRITICAL 

这是一个错误消息的列表,指示您的DNS CAA记录中没有列出globalsign.com。每行都是不同的错误消息,但在某些情况下,它可能会返回2或更多,具体取决于您的DNS CAA记录中除了globalsign.com之外列出的CA数量。

如果该错误返回CNAME,则GlobalSign找到这条记录是因为我们从原有的查询请求中追踪到了一个CNAME别名。

 

如果错误返回CRITICAL,这意味着遇到了一个GlobalSign不支持的危险CAA字段,因此直到您将该字段从DNS CAA记录移除我们才会颁发证书。

I/O输入/输出超时

这个问题在大量处理任务同时进行时会发生。有时,当您的域名服务器前误配了防火墙,用未知的qtypes查询类型进行DNS查询时,超时也会发生。

如果您看到了这样的错误消息,请稍等几分钟,然后重试。但是,如果问题仍然存在,请联系您的DNS供应商确认是什么引起了超时错误。

servfail(服务器故障代码)

这个问题当DNSSEC验证失败时会发生。

您可以尝试使用DNSSEC 调试器来解决这个问题。如果问题依然存在,则您的域名服务器可能在响应为空时产生了不正确的特征;且CAA响应也时常为空。如果你禁用了DNSSEC但仍然得到“servfail”的响应,原因可能是您的当前域名服务器返回了“NOTIMP”。它应该被纠正为返回响应为空的“NOERROR”

 

请联系您的DNS供应商以确认是什么原因导致DNS服务器的响应失败,并与他们一起解决问题。当您正确设置了DNS服务器,您可以再次尝试验证您的命令。请注意,CAA检查响应最多缓存一个(1)小时。


SSL证书的CAA检查概述


什么是CAA检查?

CAA (全称Certificate Authority Authorization,即证书颁发机构授权) 检查是一种限定哪些CA可以为某个特定域名颁发证书的控制手段。通过配置DNS CAA记录,域名的所有者能指定哪些CA被授权颁发证书到该域名。有两种不同的方法修改您的DNS CAA记录。请参照以下指南:

1.    如何在托管DNS中添加DNS CAA记录

2.    如何将DNS CAA记录添加到DNS文件中

注释:您对CAA是否支持,您的设置有任何问题或疑问,请联系您的DNS供应商获取进一步细节。 


如何操作?

域名所有者创建DNS CAA记录,列出他们允许向域名颁发证书的ca。如果某个域名拥有DNS CAA记录,则仅允许记录中列出的CA为该域名颁发证书。如果不存在DNS CAA记录,则任何CA都可以为该域名颁发证书。


为什么需要(CAA检查)?

以前,任何CA都可以为任何域名颁发证书,这使得PKI生态系统较为脆弱。因此,CA/B论坛通过187的票数,使CAA检查变为强制性,以改善PKI系统的强度。


我已有的SSL证书怎么办?

这种变更不影响现有的SSL证书。然而,对于新颁发的、重新颁发的和续费的,如果该域名有DNS CAA记录且所有记录都不包含特许的发布者信息globalsign.com,那么GlobalSign将被禁止将证书重新发布到该域名(或子域名)。

您的DNS CAA记录应当包含如下所示的globalsign.com”信息。


返回 GlobalSign 新闻中心