我怎么阻止自己获得咱们TLS加密证书吗

我设置一个新域名使用一个简单的点对点视频服务(更多在以后的更新),但反复遇到问题我们加密域授权测试。这就是我把自己锁的铸造我的新域名TLS证书。。

,然后我写了一个最近推出了方法对预防misissuance TLS证书叫认证中心授权(CAA)记录。创新艺人经纪公司是一种DNS记录,让域所有者声明证书颁发机构(CA)颁发证书的域。。

颁发的证书对这个网站让我们加密,自由的证书颁发机构。我使用下面的DNS记录,以防止任何其他证书颁发机构发行证书我的域:

ctrl。博客。在CAA 0问题”letsencrypt。org”ctrl。博客。在CAA 0 iodef”mailto:秒你密度@ ct rl。提单og””

第一项声明的独特域名可以发放证书的CA域。。

第二项声明了一个电子邮件地址,认证权威可能使用联系我通知我已经发行的任何企图从non-whitelisted CA证书。这目的是帮助您调试和识别任何问题造成证书发行你的创新艺人经纪公司的记录,和给你一个正面如果有人试图为您的域创建伪造证书。。

您还可能注意到,我的域,ctrl。博客,以一个点;这绝对领域,也称为完全限定域名(FQDN)。对于大多数DNS记录,你指定外部域的绝对领域固定域名根服务器(如用点什么紧随其后)。E。g。这里邮件交换记录(MX)告诉其他邮件服务器提供邮件写给FastMail这个领域:

ctrl。博客。0在MX 20 smtp。fastmail。com。。

创新艺人经纪公司记录不使用绝对领域,然而。后点表示域名根服务器是隐含的。现在你可能已经猜到我设法阻止自己如何从我们获得任何新的证书加密:我习惯点添加到的域名。有一些有趣的外卖从这个简单的错误。。

第一个结论是,创新艺人经纪公司问题记录显然必须精确匹配证书颁发机构愿意出具的域。虽然这是事实上使用创新艺人经纪公司记录的预期效果,我也期待拖曳点不要造成任何问题给落后的历史点在DNS中。。

第二个结论是,我们还没有实现加密支持CAA iodef记录。换句话说,让我们加密没有寄给我任何邮件通知的问题即使CAA记录我的认证问题背后的根源。。

我错误地以为我CAA记录不是我失败的授权请求的原因我也认为,我收到一封电子邮件通知如果是这样。iodef RFC 6844的支持是一个可选的特性,和没有我以为是强制性的。我认为我的创新艺人经纪公司记录可能是问题,但是我认为这是一个我相信我会收到电子邮件通知,如果确实是问题的根源。。

经验教训:仔细检查一个显式的配置阻塞机制当你发现自己被一些未知的因素。。


多亏了BunnyCDN让我们调试帮助我解决这个问题。。