Domain-Name-System

CAA 和 CNAME 一起

  • November 30, 2017

我的 DNS 供應商不允許我為已定義 CNAME 記錄的主機名創建 CAA 記錄。我知道在使用 CNAME 時規範不允許其他記錄類型(有一些與 DNSSEC 相關的例外情況),但這似乎不正確……

仍然……為 CNAME 別名提供 CAA 記錄的最佳方式是什麼?

CAA 記錄應該遵循 CNAME,因此您需要 CAA 記錄作為 CNAME 記錄的目標。

引用https://letsencrypt.org/docs/caa/

CAA 驗證遵循 CNAME,就像所有其他 DNS 請求一樣。如果 www.community.example.com 是 web1.example.net 的 CNAME,CA 將首先請求 www.community.example.com 的 CAA 記錄,然後看到該域名有 CNAME 而不是 CAA 記錄,將改為請求 web1.example.net 的 CAA 記錄。請注意,如果域名有 CNAME 記錄,則根據 DNS 標準,不允許有任何其他記錄。

試圖“規避”這將無濟於事,因為即使您創建了與 CNAME 平行的非法 CAA 記錄,遵循規範的客戶端也會忽略它。

引用自:https://serverfault.com/questions/885952