本文回答了有关 CAA DNS 记录的几个常见问题。

什么是 CAA？

证书颁发机构授权（CAA）记录允许域所有者将颁发限制为指定的证书颁发机构（CA）。CAA 记录可阻止 CA 在某些情况下颁发证书。  有关更多详细信息，请参阅 RFC 6844。

Cloudflare 如何评估 CAA 记录？

CAA 记录由 CA 评估，而不是由 Cloudflare 评估。

如果我的 CAA 记录排除了颁发 Universal SSL，为什么必须禁用 Universal SSL？

由于 Universal SSL 证书在客户之间共享，因此您的 CAA 记录可能会阻止颁发其他客户的 Universal SSL。因此，Cloudflare 必须为您的域禁用 Universal SSL，以确保您的 CAA 记录不会影响其他客户。

如果您不需要 Cloudflare 提供的 Universal SSL，请在 SSL/TLS 应用中禁用 Universal SSL。

要启用 Universal SSL，需要添加哪些记录？

如果您继续使用 Cloudflare 的免费 Universal SSL 证书，则会自动设置以下 DNS 记录：

example.com.IN CAA 0 issue "comodoca.com"example.com.IN CAA 0 issue "digicert.com"example.com.IN CAA 0 issue "letsencrypt.org"example.com.IN CAA 0 issuewild "comodoca.com"example.com.IN CAA 0 issuewild "digicert.com"example.com.IN CAA 0 issuewild "letsencrypt.org"

单独使用时，issuewild 只允许颁发通配符证书。  因此，除非您在标记下拉列表中指定允许通配符和特定主机名选项，否则 Cloudflare 无法将您的根域添加到证书中：

禁用 Universal SSL 时会发生什么？

您的域名将立即从 Universal SSL 证书中移除，除非您上传自定义 SSL 证书（需要 Business 或 Enterprise Plan），否则您的用户将观察到 SSL 错误。

如何重新启用 Universal SSL？

向 Cloudflare 支持部门提交支持票证。

设置 CAA 记录有哪些危险？

如果您属于大型组织的成员或​​多方负责获取 SSL 证书的组织，请包括允许颁发适用于您组织的所有 CA 的 CAA 记录。  如果不这样做，可能会无意中阻止为组织中的其他部分颁发 SSL。