强制 CAA 检查的提议 2017 年 3 月 7 日， CA|B Forum （一个全球证书颁发机构与浏览器的技术论坛）发起了一项关于对域名强制检查 CAA 的一项提议的投票，获得 187 票支持，投票有效，提议通过。 提议通过后，将于 2017 年 9 月 8 日根据 Mozilla 的 Gervase Markham 提出的检查 CAA 记录作为基准要求来实施。 详情参见： Ballot 187 – Make CAA Checking Mandatory 什么是 CAA 记录？ CAA ，全称 Certificate Authority Authorization ，即证书颁发机构授权。它为了改善 PKI （ Public Key Infrastructure ：公钥基础设施）生态系统强度、减少证书意外错误发布的风险，通过 DNS 机制创建 CAA 资源记录，从而限定了特定域名颁发的证书和 CA （证书颁发机构）之间的联系。从此，再也不能是任意 CA 都可以为任意域名颁发证书了。 关于 CAA 记录，其实早在 4 年前便在 RFC 6844 中有定义，但由于种种原因配置该 DNS 资源记录的网站寥寥无几。如今， SSL 证书在颁发之前对域名强制 CAA 检查，就对想要 https 访问的网站域名提出了解析配置的要求。 CAA 资源记录详解 CAA 记录可以控制单域名 SSL 证书的发行，也可以控制通配符证书。当域名存在 CAA 记录时，则只允许在记录中列出的 CA 颁发针对该域名（或子域名）的证书。 在域名解析配置中，咱们可以为整个域（如 example.com ）或者特定的子域（如 subzone.example.com ）设置 CAA 策略。当为整域设置 CAA 资源记录时，该 CAA 策略将同时应用于该域名下的任一子域，除非被已设置的子域策略覆盖。 CAA 记录...