我想知道如何测试我的设备或浏览器1是否正确检查并应用DNS证书颁发机构授权(CAA)。如果没有,我如何启用它并强制检查和拒绝 CAA,或者至少发出警告。
我主要对在 Windows、Linux 和 Android 系统上测试此功能感兴趣,但也欢迎提供有关在 Apple macOS 或 iOS 中测试此功能的信息。或者,如果它是在应用程序级别而不是操作系统级别,我想知道 Firefox 和基于 Chromium 的浏览器,例如 Google Chrome、Brave 和 Microsoft Edge。
不存在“设备或浏览器对 CAA 的正确检查”。像浏览器这样的 TLS 客户端首先就不在 CAA 的范围内,它仅适用于证书颁发机构。引用 RFC 6844 关于 CAA 的目的:
CAA 资源记录允许公共证书颁发机构 实施额外的控制措施以降低意外风险 证书颁发错误。
CAA 记录也仅在颁发证书时进行检查。 CAA 记录在证书颁发后可能会发生变化,但仍然有效。这意味着在证书颁发后的任何时间检查 CAA 都是错误的,这意味着像浏览器这样的客户端无论如何都无法正确执行此操作,因为它们此时无法返回到颁发时检查 CAA。
RFC 本身也对此进行了解释,因此明确指出
依赖应用程序 必须 请勿使用 CAA 记录作为证书验证的一部分
...
CAA 记录可以被证书评估者用作可能的 违反安全策略的指标。 此类使用应采取 考虑到发布的 CAA 记录在之间发生变化的可能性 颁发证书的时间以及证书颁发的时间 证书评估员观察了证书。