根据CA / B论坛的187号投票——要求CAA检查是强制性的, GlobalSign将于2017年8月28日起对SSL证书实行CAA检查。因此,在所有公开受信任的SSL证书的订购流程中以及MSSL管理颁发的证书,CAA将作为域审核的一部分进行验证,其中SSL证书订购包括:AlphaSSL,DomainSSL,OrganizationSSL,ExtendedSSL,CloudSSL和CloudSSL SAN。对于域验证的SSL产品来说,如果CAA设置不正确将在域名验证步骤中遭到警告;如果您已经购买了更高级别的验证产品,而您的DNS CAA记录与GlobalSign不兼容,将会有审核人员联系您。
进行这种变更是为了利用新的控制手段提高PKI(Public Key Infrastructure:公钥基础设施)生态系统的强度,限制哪些CA(Certification Authorities,证书颁发机构)可以为某个特定域名颁发证书。CA/B论坛最近投票决定强制将CAA检查作为基线要求的一部分。CA将有义务检查DNS CAA记录并给那些设置予以认证。如果不存在DNS CAA记录,任何CA都可以为该域名颁发证书。如果存在DNS CAA记录,则只有记录列表里的CA才允许为该域名颁发证书。另外,当处理DNS CAA记录时,GlobalSign将处理RFC 6844中指定的issue、issuewild和iodef的证书属性标签。
时间轴
2017.8.28 GlobalSign对SSL证书实行CAA检查
2017.9.8 CAB论坛上CA通过对SSL证书的CAA检查的截止日期
常见错误
错误信息
原因
解决方案
在您的证书中,一个或多个SAN值的CAA检查失败。请更新您的DNS CAA记录并再次尝试批准。
我们的系统检测到您的DNS CAA记录包含条目,但“globalsign.com”不在其中。
在你的CAA条目中加入“globalsign.com”,然后再试一次。请注意,这可能需要一个小时的时间来传播,以确保DNS CAA记录缓存已经被清除。
example.org: example.org:
issue=different.issuer.com
这是一个错误消息的列表,指示您的DNS CAA记录中没有列出globalsign.com。每行都是不同的错误消息,但在某些情况下,它可能会返回2或更多,具体取决于您的DNS CAA记录中除了globalsign.com之外列出的CA数量。
如果该错误返回CNAME,则GlobalSign找到这条记录是因为我们从原有的查询请求中追踪到了一个CNAME别名。
如果错误返回CRITICAL,这意味着遇到了一个GlobalSign不支持的危险CAA字段,因此直到您将该字段从DNS CAA记录移除我们才会颁发证书。
I/O输入/输出超时
这个问题在大量处理任务同时进行时会发生。有时,当您的域名服务器前误配了防火墙,用未知的qtypes查询类型进行DNS查询时,超时也会发生。
如果您看到了这样的错误消息,请稍等几分钟,然后重试。但是,如果问题仍然存在,请联系您的DNS供应商确认是什么引起了超时错误。
servfail(服务器故障代码)
这个问题当DNSSEC验证失败时会发生。
您可以尝试使用DNSSEC 调试器来解决这个问题。如果问题依然存在,则您的域名服务器可能在响应为空时产生了不正确的特征;且CAA响应也时常为空。如果你禁用了DNSSEC但仍然得到“servfail”的响应,原因可能是您的当前域名服务器返回了“NOTIMP”。它应该被纠正为返回响应为空的“NOERROR”。
请联系您的DNS供应商以确认是什么原因导致DNS服务器的响应失败,并与他们一起解决问题。当您正确设置了DNS服务器,您可以再次尝试验证您的命令。请注意,CAA检查响应最多缓存一个(1)小时。
caatag.example.org: caatag.example.org issue=different.issuer.com
sub.caatag.example.org: caatag.example.org: issue=different.issuer.com
cname.sub.example.org: cname.target.example.org: issue=different.issuer.com;
CNAME"
critical.example.org: critical.example.org: invalidtag=globalsign.com;
CRITICAL",
cname.critical.example.org: critical.cname.target.example.org:
invalidtag=globalsign.com; CNAME CRITICAL
SSL证书的CAA检查概述
什么是CAA检查?
CAA (全称Certificate Authority Authorization,即证书颁发机构授权) 检查是一种限定哪些CA可以为某个特定域名颁发证书的控制手段。通过配置DNS CAA记录,域名的所有者能指定哪些CA被授权颁发证书到该域名。有两种不同的方法修改您的DNS CAA记录。请参照以下指南:
注释:您对CAA是否支持,您的设置有任何问题或疑问,请联系您的DNS供应商获取进一步细节。
如何操作?
域名所有者创建DNS CAA记录,列出他们允许向域名颁发证书的ca。如果某个域名拥有DNS CAA记录,则仅允许记录中列出的CA为该域名颁发证书。如果不存在DNS CAA记录,则任何CA都可以为该域名颁发证书。
为什么需要(CAA检查)?
以前,任何CA都可以为任何域名颁发证书,这使得PKI生态系统较为脆弱。因此,CA/B论坛通过187的票数,使CAA检查变为强制性,以改善PKI系统的强度。
我已有的SSL证书怎么办?
这种变更不影响现有的SSL证书。然而,对于新颁发的、重新颁发的和续费的,如果该域名有DNS CAA记录且所有记录都不包含特许的发布者信息globalsign.com,那么GlobalSign将被禁止将证书重新发布到该域名(或子域名)。
您的DNS CAA记录应当包含如下所示的“globalsign.com”信息。
