2024年4月15日发(作者：)

域名系统中的CAA记录如何配置与使用

一、CAA记录的作用与概述

域名系统（Domain Name System，简称DNS）是互联网中进行域

名解析的关键系统，它将人类可读的域名转换为IP地址，使得网络通

信能够顺利进行。而在域名系统中，CAA记录是一项重要的安全控制措

施，用于限制哪些证书颁发机构（Certification Authority，简称CA）

能够为特定域名颁发SSL证书。

CAA记录的设计初衷是为了增强SSL证书的安全性。通过配置CAA

记录，域名所有者可以显式地指定允许签发自己域名证书的CA机构，

从而减少中间人攻击和伪造证书的风险。具体来说，当请求一个域名

的SSL证书时，CA机构会在签发证书之前检查该域名的CAA记录，根

据配置的CAA记录来决定是否能够正常颁发证书。

二、CAA记录的配置方法

1. 登录域名注册商的管理平台，找到对应的域名解析设置页面；

2. 在解析记录中选择“增加记录”或类似选项；

3. 在记录类型中选择CAA记录，并填写相关信息；

4. 填写主机记录（Hostname），一般为此次配置CAA的子域名，

例如""；

5. 填写标记（标识）（Flag），取值为0、1、128中的一个。其

中，0表示禁止CA颁发该域名的证书，1表示允许CA颁发该域名的证

书，128表示允许指定的CA颁发该域名的证书；

6. 在标记（标识）之后填写通用名称（Value），即指定允许颁

发证书的CA机构的标识符；

7. 设置TTL（生存时间），一般默认即可；

8. 保存配置并等待生效。

三、CAA记录的使用示例

假设我们有一个域名为，并且希望只允许两个CA机构（比如

Let's Encrypt和DigiCert）颁发该域名的SSL证书。我们可以按照

以下步骤进行配置：

1. 在域名注册商的管理平台中，找到对应的域名解析设置页面；

2. 在解析记录中选择“增加记录”；

3. 选择CAA记录，并填写以下信息：

主机记录：填写子域名，比如""；

标记（标识）：选择128；

值：填写以下两个值，分别对应Let's Encrypt和DigiCert

的标识符：

- ""

- ""

注意：如果想要限制只有一个CA机构颁发证书，可以只填写

一个相应的标识符。

4. 设置TTL为默认值；

5. 保存配置并等待生效。

这样一来，当请求域名的SSL证书时，CA机构在签发证书之前会

检查CAA记录。根据上述配置，只有Let's Encrypt和DigiCert两个

CA机构能够颁发该域名的SSL证书，其他CA机构将被拒绝。

四、CAA记录的注意事项

在配置和使用CAA记录时，需要注意以下几点：

1. 配置CAA记录的同时，也需要确保该域名解析的其他记录（如

A记录、MX记录等）正确配置，以免影响正常的域名解析；

2. CAA记录的生效时间可能需要一段时间，请耐心等待；

3. 配置CAA记录时，建议考虑到未来可能需要修改颁发证书的

CA机构，以便灵活调整；

4. 在设置CAA记录时，可以使用DNSSEC加密技术来增强安全性。

五、总结

CAA记录作为域名系统中的一项安全控制措施，可以有效限制SSL

证书的颁发范围，提高域名的安全性。通过合理配置CAA记录，域名

所有者可以明确指定允许颁发证书的CA机构，减少中间人攻击和伪造

证书的风险。在实际配置过程中，需要按照相关的步骤和注意事项进

行操作，以确保配置的有效性和生效时间。随着互联网的发展和信息

安全的日益重视，我们期待CAA记录的逐渐普及和应用，从而提升整

体网络安全的水平。