CAA 记录

Also known as: 证书颁发机构授权, Certification Authority Authorization

一条简短的规则，指明哪些公司有权为你的网站签发安全证书——挡住其他任何人以你的名义签发证书。

它是什么

浏览器里的那把小锁，来自某家受信任的证书公司为你域名签发的「安全证书」。在默认情况下，全球数以百计的这类公司在技术上都有权为你的域名签发证书。CAA 记录是附在你域名上的一条简短声明，实际意思是「只有这几家指定公司可以为我们签发证书——其他任何人的请求一律忽略」。

如果任何一家证书公司都能为你的域名签出一把锁，那么其中任意一家出错或被骗，都可能把一张看起来真实无误的网站证书递到攻击者手里。有了它，他们就能搭出一个以假乱真的你的网站，而浏览器照样显示为「安全」。CAA 记录把这种风险收窄到你实际使用的那一两家公司，这样别处出的任何纰漏都无法被拿来对付你。

免费检测会告诉你是否设有 CAA 记录，以及它允许哪些证书公司。如果缺失，我们的 CAA 修复指南 会说明如何添加一条、列出你当前的证书服务商。它在域名服务商处只是一小段文本，不花一分钱，访客也完全看不见。

Want to fix this on your own domain? See the free guide →