憑證策略 DNS
CAA 驗證器
驗證並產生 CAA 記錄,支援 Let’s Encrypt、DigiCert、萬用字元憑證與事件回報策略,讓憑證授權規則在發布前更清楚。
記錄驗證
檢查 CAA flags、tag 語意與常見設定錯誤。
區域輸出
產生可直接發布到 BIND 或其他 DNS 系統的 zone 記錄。
供應商友善
同時提供 Cloudflare 常見的 flag、tag、value 拆分欄位。
預設
issue 用於一般憑證,issuewild 用於萬用字元憑證授權,iodef 用於憑證事件回報位置。
結論
CAA 記錄格式有效
Only letsencrypt.org is authorized to issue non-wildcard certificates for this hostname.
產生結果
標準化值
0 issue "letsencrypt.org"
Zone 記錄
@ 3600 IN CAA 0 issue "letsencrypt.org"
Cloudflare 風格欄位
Flag
0
Tag
issue
Value
letsencrypt.org
最佳實務
- 若萬用字元憑證策略和一般憑證不同,建議同時設定 issue 與 issuewild。
- 確保 iodef 回報位置真實可用,能收到誤簽發或異常通知。
- 只有在明確需要 CA 理解該屬性時,才使用 issuer-critical 旗標。
- 把 CAA 同時當作控制策略與文件,確保它與憑證自動化設定保持一致。
為什麼 CAA 重要
CAA 透過 DNS 明確指定哪些憑證機構可以為你的主機名稱簽發憑證,減少授權模糊空間。
團隊常漏掉什麼
很多團隊只設定 issue,卻沒有考慮 issuewild,導致萬用字元憑證策略不明確。
營運價值
清楚的 CAA 策略能讓憑證自動化、稽核與事件處理更容易落地。
關於此工具
CAA,也就是 Certification Authority Authorization,是一種 DNS 記錄,用來告訴憑證機構哪些 CA 可以為某個主機名稱簽發憑證。它也可以單獨限制萬用字元憑證,並透過 IODEF 指定憑證事件回報位置。這個 CAA 驗證與產生工具支援結構化產生、既有記錄解析、語法標準化,以及面向常見 DNS 平台的可複製輸出。它特別適合憑證自動化上線、CA 遷移、網域安全審查與合規稽核,讓憑證授權策略更明確、更容易審閱。
使用方法
- 若你已經有一條 CAA 記錄,可以先貼上並解析。
- 也可以直接填寫主機名稱、TTL、flags、tag 和 value。
- 透過預設快速產生 Let’s Encrypt、萬用字元授權或回報位置等常見模式。
- 查看標準化結果、zone 記錄與建議說明。
- 確認它與你的憑證自動化策略一致後,再發布到 DNS 平台。
功能特點
- 支援解析既有 CAA zone 記錄
- 支援驗證 flags、tag 與常見 IODEF 形式
- 產生標準化 CAA 值與完整 zone 記錄
- 提供 Cloudflare 風格欄位輸出
- 用易讀語言解釋 issue、issuewild、iodef 的含義
常見用例
- 限制只允許 Let’s Encrypt 或某商業 CA 簽發憑證
- 單獨定義萬用字元憑證授權策略
- 為憑證自動化上線準備 DNS 策略
- 在安全稽核中審查憑證控制項
- 為事件回應或合規文件化 CA 政策
技術詳情
CAA 記錄的值格式是 flags tag "value"。在 zone 檔中通常寫成 name TTL IN CAA flags tag "value"。
最常見的標籤有:
- issue:授權一般憑證簽發。
- issuewild:授權萬用字元憑證簽發。
- iodef:指定憑證事件報告位置。
當 flags 為 128 時,代表啟用了 issuer-critical 位。如果 CA 不理解該屬性,就必須拒絕簽發。
CAA 常見問題
issue ";" 是什麼意思?
它表示在該記錄作用範圍內,明確禁止憑證機構為此主機簽發憑證。
是否一定要同時設定 issue 和 issuewild?
只有在萬用字元憑證策略與一般憑證策略不同時才需要;否則只用 issue 也可以。
iodef 標籤是做什麼的?
它用來告訴憑證機構要把誤簽發或憑證事件報告送到哪裡,通常是 mailto: 或 https: 位址。
設定了 CAA 之後,還需要網域驗證嗎?
需要。CAA 只決定「誰可以簽發」,不會取代 ACME 或其他網域控制驗證流程。