AWS Route 53 теперь позволяет создание CAA записей, чтобы ограничить центры сертификации, которые могут выдавать сертификат для домена. Я бы хотел использовать issue директива, ограничивающая выдачу сертификатов для моего домена, как в следующем примере:
example.org. CAA 128 issue "letsencrypt.org"
Я получаю сертификаты для своего домена в диспетчере сертификатов Amazon (ACM). Как мне настроить домен, который ограничивает выдачу сертификатов для этой службы? Я не хочу ошибаться, если нарушу автоматическое продление сертификата!
Обновление 2017-09
Официальное руководство по ACM в руководстве AWS содержит раздел, посвященный CAA: http://docs.aws.amazon.com/acm/latest/userguide/setup-caa.html
Он действительно содержит пример, идентичный приведенному ниже, утверждает, что ACM теперь уважает конфигурацию CAA, и поясняет, что не следует устанавливать флаг (flags=0):
если у вас нет записи CAA, в которой указан один из следующих четырех центров сертификации Amazon, ACM не сможет выдать сертификат для вашего домена или субдомена
Помните, что до тех пор, пока Amazon не пообещает безоговорочную валидацию CAA в своем заявлении о практике сертификации,
Проверка CAA является необязательной, если CA или филиал CA является оператором DNS (как определено в RFC 7719) DNS домена.
согласно Бюллетень 187 Форума CAB (действителен 08.09.2019).
Исходный пост
Вы можете просто использовать
example.org. CAA 0 issue "amazon.com"
Почему именно amazon.com?
Потому что практически любой центр сертификации рекомендует использовать самый запоминающийся домен под своим контролем, а Amazon еще не сделал никаких конкретных сообщений.
https://tools.ietf.org/html/rfc6844#section-3
проблема <доменное имя эмитента> [; <имя> = <значение>] *:
Запись свойства выдачи разрешает владельцу доменного имени или стороне, действующей с явных полномочий владельца этого доменного имени, выдавать сертификаты для домена, в котором публикуется свойство.
Почему бы не использовать флаги (например, flags=128: отметьте критично)?
Поскольку на данный момент (2017-08 гг.) Amazon не заботится о записи CAA, поэтому настраивая ее, потенциально не придерживаясь рекомендаций, которые они опубликуют позже, вы просто готовитесь к некоторой головной боли, пытаясь выяснить, что пошло не так. .
Amazon может или не может рекомендовать дополнительно использовать aws.amazon.com и / или имя учетной записи, и их отчет поставщикам браузеров выглядит так, как будто они.
В Публичный репозиторий документов Amazon Trust содержит документ под названием Amazon Trust Services Certification Practice Statement v1.X и там вы можете искать "CAA". В v1.0.5 это указывает
Корневые центры сертификации Amazon не проверяют записи CAA перед выдачей сертификатов.