AWS Route 53 now allows the creation of CAA
records to restrict the certificate authorities that may issue a certificate for a domain. I'd like to use an issue
directive to restrict the issue of certificates for my domain like in the following example:
example.org. CAA 128 issue "letsencrypt.org"
I obtain certificates for my domain from Amazon's Certificate Manager (ACM). How should I configure a domain that restricts issue of certificates to this service? I don't want to get this wrong in case I break the automatic renewal of the certificate!
Обновление 2017-09
Официальное ACM-руководство в руководстве AWS содержит раздел, касающийся CAA: http://docs.aws.amazon.com/acm/latest/userguide/setup-caa.html
Он содержит пример, идентичный приведённому ниже, утверждает, что ACM теперь уважает конфигурацию CAA, и поясняет, что флаг не должен быть установлен (flags=0
):
если у вас нет записи CAA, которая бы определяла одно из следующего четыре центра сертификации Amazon CA, ACM не может выдать сертификат вашему домену или субдомен
Пожалуйста, имейте в виду, что до тех пор, пока Amazon не обещает безусловную проверку CAA в своем заявлении о сертификационной практике,
проверка CAA не является обязательной, если CA или его аффилированное лицо являются DNS Оператор (как определено в RFC 7719) DNS домена.
согласно Ballot 187 CAB Форума (вступает в силу с 2019-09-08).
Original Post
Вы можете просто использовать
example.org. CAA 0 issue "amazon.com"
Why amazon.com?
Потому что практически любой ЦА рекомендует использовать самый запоминающийся домен под их контролем, а amazon еще не сделал никаких более специфических сообщений.
https://tools.ietf.org/html/rfc6844#section-3
выпуск
[; = ]* :
. Свойство эмиссии запись разрешает владельцу доменного имени или стороне, действующей под явным руководством владельца этого доменного имени для выдачи сертификатов на домен, в котором свойство публикуется.
Почему бы не использовать флаги (например, flags=128
: пометить его критическим)?
Потому что на данный момент (2017-08) Amazon не заботится о CAA-записи, поэтому настройте ее, потенциально, не придерживаясь директив, которые они публикуют позднее, вы просто готовитесь к некоторой головной боли в выяснении того, что пошло не так.
Amazon может дополнительно порекомендовать или не рекомендовать использовать aws.amazon.com и/или имя учётной записи, и их отчёт поставщикам браузеров выглядит так, как они делают .
Amazon Trust публичное хранилище документов Amazon Trust публичное хранилище документов содержит документ под названием Amazon Trust Services Certification Practice Practice Statement v1.X
и там вы можете искать "CAA". В версии 1.0.5 в этом состоянии
Amazon Root CAs не проверяют записи CAA перед выдачей сертификатов.