NS1.COM设置DNS CAA记录提升HTTPS站点安全

看到有朋友问NS1.COM的CAA,如何设置,这个一句话说不清楚,国外主机优惠这里单独写一篇文章来详细的叙述下,如何利用NS1.COM添加CAA。

CAA 要启用,必须要 DNS 服务商支持才行。国内,京东云DNS,阿里云DNS,DNS.COM 都支持,dnspod不支持,不知道商业版支不支持。其他的没用过不太清楚!另外支持 CAA 记录的国外 DNS 服务这里有比较详细的记录:【https://sslmate.com/caa/support】 如果你不知道自己的DNS域名解析服务是否支持CAA,可以查看以下汇总图。

这篇文章我们看看如何利用NS1.COM添加CAA!!!

第一 :添加格式

添加 CAA 记录的说明如下:

主机记录 直接填写顶级域名,会自动应用到多级域名。

CAA data 填写 0 issue "证书颁发机构域名"

如果如果你用 Let’s Encrypt 颁发的免费证书,CAA data 部分直接填写 如下格式即可。

0 issue "letsencrypt.org"

你还可以添加一条为 0 iodef mailto:daniao@gmail.com 的 CAA 记录,表示如果发现违背 CAA 记录的情况给这个邮箱发邮件通知。

CAA:格式为:flag tag value。 其中flag目前取值为0-128;tag取值为issue、issuewild、iodef;value为不包含|、””、\、<>、中文字符的字符串。例如:0 issue www.vps100.net。

格式为:flag tag value  这个我们是要知道的。

第二:利用工具

除了Google Cloud DNS, Route 53, DNSimple等常见了DNS解析服务外,如果你用的是BIND、PowerDNS、dnsmasq等,添加域名CAA记录与上面会有所不同,建议使用CAA记录自动在线生成来搞定。

工具直接生成网址:https://sslmate.com/caa/

填写域名后点 Auto-Generate Policy,这个工具会自动查询你的网站使用了什么证书,从而生成对应的 CAA 记录数据。如图:www.vps100.net的生成数据。

第三:添加CAA

既然,我们得到了CAA的数据,就可以来添加了,我们看看如何利用NS1.COM添加CAA。登录之后点击 zones 进入域名管理,如图:

Add Record添加记录,如图:

这里我们添加CAA记录,如图:

填好,我们保存即可。

第四:CAA记录是否生效

我们可以使用SSL证书在线检测网站来查看自己的域名CAA记录是否生效。

网址:https://www.ssllabs.com/ssltest/index.html。

便宜vps主机的检测数据:如图:

已经生效了,添加CAA记录结束。

第五:总结

如何利用NS1.COM添加CAA,就说完了,整个过程也是很简单的,当然这个教程对于其他支持CAA的服务商来说都是通用的,如果你不会,不妨参考下本文。

对于DNS CAA记录,可以说在一定程度上可以防止中间人伪造SSL证书劫持DNS解析,但是仅有CAA还不够,建议,启用HSTS并加入HSTS Preload List-附删除HSTS方法。当然如果你对NS1.COM还不太了解,可以看看:NS1 DNS注册以及域名解析使用教程