如何防止Let 's Encrypt为您的域颁发证书

除了Let 's加密之外,您是否从证书颁发机构获取证书?现在,您可以阻止Let 's加密和证书颁发机构(您与之有关系的机构除外)为您的域错误颁发证书。它所需要的只是一些额外的DNS记录。

让我们加密已经完全自动化了证书颁发和更新过程,并且降低了在web上部署客户机到服务器加密的成本和技术壁垒。为任何能够通过一系列挑战的域颁发证书,这些挑战围绕着演示对给定域的web通信标准端口(TCP 80)的控制一个AAAA级(IPv4或IPv6)记录。

作为额外的安全措施,让我们加密也将检查和验证任何创新艺人经纪公司存储在DNS中的域记录。创新艺人经纪公司或证书颁发机构授权记录,是一组专门针对ca的指令,可用于向一个或多个ca授予独家颁发许可。

Let 's Encrypt是最早实现检查的CAs之一创新艺人经纪公司记录。他们将查询DNS创新艺人经纪公司记录从多个地理分散的位置在世界各地。如果一个冲突创新艺人经纪公司找到记录后,它们就会拒绝为某个域颁发证书。

如果您已经配置了多个DNS服务提供商作为您的域名服务器,那么即使一个域名服务器可能已经被攻击者破坏,Let’s加密方法也可以帮助保护您的域名。

假设您只想阻止Let 's Encrypt和除DigiCert之外的任何人为您的域颁发证书,那么您可以让询问此事的任何CA知道使用以下DNS记录(如下所示)yabo亚博体育下载绑定格式):

example.com。在CAA 0期"digicert.com" example.com。在CAA 0发行野生";"

上面的例子说明只有一个自标识为的证书颁发机构digicert.com可以发给证书吗example.com域。此外,它还说,只有标识为空字符串的CA(意味着没有人)才能为域颁发通配符证书。

还有一些创新艺人经纪公司你应该设置的记录,我在a中更详细地讲过过去的文章。您还需要设置创新艺人经纪公司任何子域的记录,包括www,除了您的根域。在部署之前,您应该详细查看我的上一篇文章创新艺人经纪公司记录在您的域名。

所有CAs已经同意开始检查创新艺人经纪公司记录的