全部产品
Search

搜索本产品

    Alibaba Cloud DNS:Konfigurasikan Rekaman CAA untuk Menentukan Otoritas Penerbitan Sertifikat Keamanan HTTPS

    文档中心

    Alibaba Cloud DNS:Konfigurasikan Rekaman CAA untuk Menentukan Otoritas Penerbitan Sertifikat Keamanan HTTPS

    更新时间:Jul 08, 2025

    Menyiapkan rekaman CAA untuk domain Anda adalah metode efektif untuk meningkatkan keamanan situs web. Topik ini menjelaskan latar belakang standar CAA dan cara mengonfigurasi serta memverifikasi rekaman CAA menggunakan Alibaba Cloud DNS.

    Latar Belakang

    Menurut departemen otoritatif, sekitar ratusan otoritas sertifikat (CAs) di seluruh dunia berwenang menerbitkan sertifikat HTTPS untuk memverifikasi identitas situs web. Namun, beberapa otoritas sertifikat sering dimasukkan dalam daftar hitam oleh browser karena berbagai alasan. Pengumuman publik menyatakan bahwa sertifikat HTTPS yang diterbitkan oleh mereka tidak lagi dipercaya. Akibatnya, saat mengakses situs web dengan sertifikat tersebut, browser seperti Google Chrome dan Firefox akan menampilkan pesan "Sertifikat HTTPS tidak dipercaya," dan HTTPS di bilah alamat browser akan ditandai dengan garis merah, membuat halaman web tidak dapat diakses.

    CAA (Certification Authority Authorization) adalah langkah keamanan untuk mencegah penerbitan sertifikat HTTPS yang salah. Standar ini disetujui oleh Internet Engineering Task Force (IETF) pada Januari 2013 dan terdaftar sebagai RFC6844. Pada Maret 2017, CA/Browser Forum meloloskan Ballot 187, yang mengharuskan organisasi CA melakukan pengecekan CAA wajib mulai 8 September 2017.

    Standar CAA memungkinkan pemilik situs web memberi otorisasi hanya kepada organisasi CA tertentu untuk menerbitkan sertifikat untuk domain mereka, mencegah penerbitan sertifikat HTTPS yang salah. Saat ini, Alibaba Cloud DNS telah menjadi pelopor dalam mendukung jenis rekaman CAA.

    Format rekaman CAA

    Format rekaman CAA adalah: [flag] [tag] [value], yang terdiri dari byte flag [flag] dan pasangan [tag]-[value] (tag-value) yang disebut atribut. Anda dapat menambahkan beberapa bidang CAA ke rekaman DNS domain Anda.

    Bidang

    Deskripsi

    flag

    Bilangan bulat tak bertanda antara 0 dan 255, digunakan untuk menandai otoritas autentikasi. Dalam kebanyakan kasus, nilainya diatur ke 0, yang menunjukkan bahwa jika otoritas penerbit sertifikat tidak dapat mendeteksi informasi ini, maka akan diabaikan.

    tag

    Mendukung issue, issuewild, dan iodef.

    • issue: CA memberi otorisasi satu otoritas sertifikat untuk menerbitkan semua jenis sertifikat domain.

    • issuewild: CA memberi otorisasi satu otoritas sertifikat untuk menerbitkan sertifikat wildcard untuk nama host.

    • iodef: CA dapat mengirim URL catatan pelanggaran ke alamat email tertentu.

    value

    Nama domain CA atau alamat email untuk notifikasi pelanggaran.

    Tambahkan rekaman CAA

    Misalkan Anda ingin mengizinkan hanya symantec.com untuk menerbitkan sertifikat untuk domain midengd.xyz, dan mengirim notifikasi pelanggaran ke alamat email admin@midengd.xyz. Anda dapat mengonfigurasi rekaman CAA sebagai berikut.

    1. Masuk ke Cloud DNS - Public Authoritative DNS, klik Operation di baris domain target, lalu klik DNS Settings.

    2. Tambahkan dua rekaman DNS berikut.

      Host

      Nilai rekaman

      @

      0 issue "symantec.example.com"

      @

      0 iodef "mailto:admin@midengd.xyz"

    Verifikasi rekaman CAA

    Anda dapat menggunakan perintah dig domain record_type untuk menanyakan resolusi rekaman CAA. Contoh pengujian dan hasil kembalian ditunjukkan sebagai berikut.

    sh-3.2# dig midengd.xyz caa

; <<>> DiG 9.10.5rc1 <<>> midengd.xyz caa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26714
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;midengd.xyz. IN CAA

;; ANSWER SECTION:
midengd.xyz. 600 IN CAA 0 iodef "mailto:admin@midengd.xyz"
midengd.xyz. 600 IN CAA 0 issue "symantec.com"

;; Query time: 577 msec
;; SERVER: 30.26.X.X#53(30.26.X.X)
;; WHEN: Tue Dec 05 18:55:48 CST 2017
;; MSG SIZE rcvd: 114

    Sejak April 2017, semua organisasi CA harus melakukan deteksi CAA pada nama domain objek penerbitan sertifikat sebelum menerbitkan sertifikat SSL. Saat ini, penyedia layanan DNS luar negeri seperti Route53, dyn, dan Cloudflare sudah mendukung rekaman CAA, tetapi tingkat adopsi di Tiongkok masih belum cukup tinggi.

    Seiring dengan meningkatnya kesadaran sosial tentang keamanan jaringan secara keseluruhan, rekaman CAA, sebagai salah satu langkah untuk meningkatkan keamanan situs web, akan menjadi persyaratan dasar keamanan jaringan bagi industri seperti lembaga keuangan, e-government, dan layanan publik. Lebih banyak penyedia layanan DNS akan mendukung rekaman CAA, dan adopsi luas CAA hanyalah masalah waktu.