我如何阻止自己从获得让我们加密TLS证书

我想建立一个新的域名作为一个简单的对等网络视频流服务的使用(更多的在以后的更新),但多次跑进与咱们加密的域名授权测试的问题。这里是我把自己锁在了我的造币新域TLS证书的。

,我写了一篇关于一个那么近期推出用于防止TLS证书的misissuance方法所谓的认证机构授权(CAA) 记录。CAA是一种可以让域名所有者宣布哪些证书颁发机构(CA)才能针对域名证书DNS记录。

本网站的证书是由咱们加密,无证书颁发机构颁发。我使用下面的DNS记录,以防yabo亚博体育下载止任何其他认证机构签发从我的域证书:

ctrl.blog。在CAA 0问题 “letsencrypt.org” ctrl.blog。在CAA 0 IODEF “的mailto:security@ctrl.blog”

第一项声明,可以发出我的域名证书的CA的唯一的域名。

第二项声明的电子邮件地址证书颁发机构可以用它来与我联系,通知我关于可能已经作出颁发证书从任何企图非允许上市CA.这既是为了帮助调试,并确定由与证书颁发任何问题,你CAA记录,并给你一个头了,如果有人试图为您的站点创建伪造的证书。

您可能还注意到,我的域名,ctrl.blog,以点结束;使它成为一个绝域,也称为完全限定域名(FQDN)。对于大多数DNS记录,可以指定外部域的DNS根服务器挂靠绝对域(由点所表示后面什么都没有)。yabo亚博体育下载例如。这里有一个邮件交换记录(MX)告诉其他电子邮件服务器提供电子邮件给此域FastMail:

ctrl.blog。0 IN MX 20 smtp.fastmail.com。

CAA记录不使用,无论绝对域。点表示DNS根服务器的尾部是隐含的。现在,你可能已经猜到我是如何设法从获得从咱们加密任何新的证书阻止自己:我添加了习惯点到域名的结尾。有从这个简单的错误一些有趣的外卖。

第一外卖在于CAA问题显然记录必须是完全匹配的证书颁发机构愿意发行该域的证书。虽然这是实际上采用的所希望的效果CAA记录,我还想到一个尾随点不会引起鉴于DNS中的后点的历史的任何问题。

第二个重点是:它可以让加密还没有实现的支持CAAIODEF记录。换句话说,让我们加密并没有给我有关的问题,即使任何电子邮件通知CAA纪录是落后于他们我的身份验证问题的根本原因。

我错误地认为我的CAA记录的不是我的失败的授权请求的原因是我还以为我会收到电子邮件通知,如果是这样的话。IODEF支持RFC 6844的一个可选功能,并且我认为这是不是强制性的。我也认为我的CAA记录可能是问题,但我解雇它,因为我相信我会收到电子邮件通知,如果这是确实的根本原因。

经验教训:仔细检查明确闭锁机构的配置当你发现自己已被一些未知因素。


谢谢BunnyCDN让我们调试帮助我解决此问题。