問題
SSL LAB測試時後發現 DNS CAA Record 橘色字樣,確認DNS新增CAA值即可以修正問題。
![](https://www.cjkuo.net/wp-content/uploads/2019/02/DNS-CAA-bad-Record.jpg)
測試環境
- Google Domains
- Web 提供Https 且憑證正確
解決辦法
1.前往 CAA Record Helper
2.在 Domain name 內填入自己要控管網址
![](https://www.cjkuo.net/wp-content/uploads/2019/02/step-1-Your-Domain-Name.jpg)
3.未設定過CAA按下Auto-Generate Policy,自動帶入現在有的憑證及CAA需填入值,已設定過得按Load Current Policy,自動帶入現有值。也可以透過需求勾選下方內容。
![](https://www.cjkuo.net/wp-content/uploads/2019/02/step-2-Select-Authorized-Certificate-Authorities.jpg)
4.如果有其他人試圖註冊,可通知此Email或連結。(選填)
![](https://www.cjkuo.net/wp-content/uploads/2019/02/step-3-Incident-Reporting-Optional.jpg)
5.根據不同設備填入不同設定值,下方使用Google Domains 做示範
![](https://www.cjkuo.net/wp-content/uploads/2019/02/step-4-Publish-Your-CAA-Policy.jpg)
參數值介紹
<domain> CAA <flag> <tag> <value>
flag:Issuer Critical,目前支援 0 或 1,當設定為1強制只能由tag機構發出憑證
tag:目前支援三種值,它們代表的意義如下
- issue:該憑證機構可以發出該域名的憑證,含此網域萬用憑證
- issuewild:該憑證機構僅能發出該網域憑證
- iodef:當發生憑證機構不符時,需要回報的網址或EMAIL
value:憑證機構,如:letsencrypt.org
6.自訂資源填入資訊
![](https://www.cjkuo.net/wp-content/uploads/2019/02/step-5-1-DNS-CAA-setting-Record.jpg)
如果需要編輯多行,先填入第一行後,按編輯利用+號填入多行值
![](https://www.cjkuo.net/wp-content/uploads/2019/02/step-5-DNS-CAA-setting-Record-1024x69.jpg)
注意事項
如果填寫不正確會導致憑證無法正確生產