域名解析類型支持CAA類型

CAA類型是域名SSL證書的一種認證說明，有這個解析類型，標明此域名的SSL證書只允許某個指定的SSL頒發(fā)機構頒發(fā)的證書才是合法的證書。

CAA記錄可以控制單域名SSL證書的發(fā)行，也可以控制通配符證書。當域名存在CAA記錄時，則只允許在記錄中列出的CA頒發(fā)針對該域名（或子域名）的證書。

在域名解析配置中，咱們可以為整個域（如example.com）或者特定的子域（如subzone.example.com）設置CAA策略。當為整域設置CAA資源記錄時，該CAA策略將同時應用于該域名下的任一子域，除非被已設置的子域策略覆蓋。

其目的是為了防止某些證書頒發(fā)機構錯誤發(fā)放證書導致的域名中間人信息攻擊 在瀏覽器訪問https的網(wǎng)址時，瀏覽器默認會去查詢域名對應的CAA記錄，查到的記錄如果和HTTPS反饋的證書頒發(fā)結構出現(xiàn)沖突就會阻止這一次的訪問，保護域名訪問者信息安全。若沒有記錄或記錄指定為任意結構都可以 則只要證書有效期內(nèi)都正常訪問。

解析方式為：

主機頭? ? ?類型? ? ?優(yōu)先級? ?TTL? ? 解析值

@? ? ? ? ? ? CAA? ? ? 默認? ? ? 默認? ?<?flags?>?<?tag?>?<?value?>

格式說明：

• flag：認證機構限制標志，取值0或128；
• tag： 證書屬性標簽，取值：issue(CA授權任何類型的域名證書)，issuewild(CA授權通配符域名證書)，iodef(指定CA可報告策略違規(guī))。
• value：證書頒發(fā)機構域名、策略違規(guī)報告郵件地址等信息；

flags:? ? 0或128

tag：????issue 或?issuewild 或?iodef

CA授權任何類型的域名證書（Authorization Entry by Domain） : issue

CA授權通配符域名證書（Authorization Entry by Wildcard Domain） : issuewild

指定CA可報告策略違規(guī)（Report incident by IODEF report） : iodef

value：????不包含| “” \< >中文字符的字符串

舉例：

• 0 issue “ca.example.net”
• 0 issuewild “example.com”
• 0 iodef “mailto:admin@example.com”