今天一个客户找我们买 12 张域名证书,6 张成功 6 张失败,我们是跟 SSL.com 合作的,发现失败的是 SSL.com 那边因为 CAA Failure 拒绝签发。
客户域名是在 CloudFlare 托管的 DNS,客户截图他完全没有添加任何 CAA 解析记录:
而我们 DIG 出来的 CAA 为:
➜ ~ dig mhribbon.com caa
; <<>> DiG 9.10.6 <<>> mhribbon.com caa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17679
;; flags: qr rd ra; QUERY: 1, ANSWER: 8, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;mhribbon.com. IN CAA
;; ANSWER SECTION:
mhribbon.com. 3600 IN CAA 0 issuewild "comodoca.com"
mhribbon.com. 3600 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes"
mhribbon.com. 3600 IN CAA 0 issuewild "letsencrypt.org"
mhribbon.com. 3600 IN CAA 0 issuewild "digicert.com"
mhribbon.com. 3600 IN CAA 0 issue "letsencrypt.org"
mhribbon.com. 3600 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"
mhribbon.com. 3600 IN CAA 0 issue "digicert.com"
mhribbon.com. 3600 IN CAA 0 issue "comodoca.com"
;; Query time: 704 msec
;; SERVER: 114.114.114.114#53(114.114.114.114)
;; WHEN: Thu Jul 15 02:00:35 CST 2021
;; MSG SIZE rcvd: 352
作为一个基础 DNS 服务,却在业务里面夹带私货为合作伙伴输送便利性利益(写死不支持竞争对手的产品),实在让人恶心。
根据我们调查,CloudFlare 从今年切换免费证书到 Let‘sEncrypt 后,就开始了 hidden CAA 的策略。而且无视 CA 厂商的申诉,继续夹带私货:
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.