Domain-Name-System
CAA 和 CNAME 一起
我的 DNS 供應商不允許我為已定義 CNAME 記錄的主機名創建 CAA 記錄。我知道在使用 CNAME 時規範不允許其他記錄類型(有一些與 DNSSEC 相關的例外情況),但這似乎不正確……
仍然……為 CNAME 別名提供 CAA 記錄的最佳方式是什麼?
CAA 記錄應該遵循 CNAME,因此您需要 CAA 記錄作為 CNAME 記錄的目標。
引用https://letsencrypt.org/docs/caa/
CAA 驗證遵循 CNAME,就像所有其他 DNS 請求一樣。如果 www.community.example.com 是 web1.example.net 的 CNAME,CA 將首先請求 www.community.example.com 的 CAA 記錄,然後看到該域名有 CNAME 而不是 CAA 記錄,將改為請求 web1.example.net 的 CAA 記錄。請注意,如果域名有 CNAME 記錄,則根據 DNS 標準,不允許有任何其他記錄。
試圖“規避”這將無濟於事,因為即使您創建了與 CNAME 平行的非法 CAA 記錄,遵循規範的客戶端也會忽略它。