这是一个创建于 1212 天前的主题,其中的信息可能已经有所发展或是发生改变。
CloudFlare 也开始作恶了(破坏云服务的中立性原则)
今天一个客户找我们买 12 张域名证书,6 张成功 6 张失败,我们是跟 SSL.com 合作的,发现失败的是 SSL.com 那边因为 CAA Failure 拒绝签发。
客户域名是在 CloudFlare 托管的 DNS,客户截图他完全没有添加任何 CAA 解析记录:
而我们 DIG 出来的 CAA 为:
➜ ~ dig mhribbon.com caa
; <<>> DiG 9.10.6 <<>> mhribbon.com caa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17679
;; flags: qr rd ra; QUERY: 1, ANSWER: 8, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;mhribbon.com. IN CAA
;; ANSWER SECTION:
mhribbon.com. 3600 IN CAA 0 issuewild "comodoca.com"
mhribbon.com. 3600 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes"
mhribbon.com. 3600 IN CAA 0 issuewild "letsencrypt.org"
mhribbon.com. 3600 IN CAA 0 issuewild "digicert.com"
mhribbon.com. 3600 IN CAA 0 issue "letsencrypt.org"
mhribbon.com. 3600 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"
mhribbon.com. 3600 IN CAA 0 issue "digicert.com"
mhribbon.com. 3600 IN CAA 0 issue "comodoca.com"
;; Query time: 704 msec
;; SERVER: 114.114.114.114#53(114.114.114.114)
;; WHEN: Thu Jul 15 02:00:35 CST 2021
;; MSG SIZE rcvd: 352
作为一个基础 DNS 服务,却在业务里面夹带私货为合作伙伴输送便利性利益(写死不支持竞争对手的产品),实在让人恶心。
根据我们调查,CloudFlare 从今年切换免费证书到 Let‘sEncrypt 后,就开始了 hidden CAA 的策略。而且无视 CA 厂商的申诉,继续夹带私货:
 |
1
learningman 2021-07-15 02:09:19 +08:00 via Android
你应该理解 CAA 是个啥吧,这玩意儿是保证安全性的啊。
你客户没手动配 CAA,指不定哪里开了个开关自动把 CAA 配上了呗。。。 |
 |
2
Nyarime OP @learningman 默认开可以呀,但是不要隐藏。
|
|
3
Nyarime OP @learningman 请相信:我们作为为数不多的大陆 OCSP 的 ePKI CA,CAA 是什么我们肯定知道。
|
 |
4
casparchen 2021-07-15 02:40:42 +08:00 via iPhone  2
“写死不支持竞争对手的产品”的结论怎么来的?不是可以自己加 CAA 吗
|
|
5
Nyarime OP @casparchen 你调研过了解 CAA 的用户有多少吗?
|
 |
6
bin456789 2021-07-15 02:57:51 +08:00 via Android
用了他们的 CDN,自动帮你加 CAA,好像没毛病
如果关了 CDN,还是有 CAA,那就有问题了 |
|
7
casparchen 2021-07-15 04:02:50 +08:00 via iPhone 1
@Nyarime 所以是支持还是不支持?
|
 |
8
DeutschXP 2021-07-15 04:12:13 +08:00 via iPhone
没看明白怎么做恶了,赞同楼上所说,先把代理去了,把云朵点灰了,等段时间再看看有没有自动加 CAA
|
 |
9
ZeroClover 2021-07-15 04:23:35 +08:00 5
https://support.cloudflare.com/hc/zh-cn/articles/115000310792-%E9%85%8D%E7%BD%AE-CAA-%E8%AE%B0%E5%BD%95-
使用 Universal SSL 时,请勿配置 CAA 记录 当您启用 Universal SSL 并通过 Cloudflare DNS 应用添加 CAA 记录时,Cloudflare 会为我们的每个 Universal SSL CA 提供商自动添加三个额外的 CAA DNS 记录。 如果禁用 Universal SSL 或未通过 DNS 应用添加 CAA 记录,则 Cloudflare 不会添加其他 CAA 记录。 这些 CAA DNS 记录不会显示在 Cloudflare 仪表板 DNS 应用中。但是,如果使用 dig 运行命令行查询,则将显示所有现有 CAA 记录,包括 Cloudflare Universal SSL 添加的记录。 如果您不想要或不需要 Cloudflare Universal SSL,可以在 Cloudflare SSL/TLS 设置中禁用它。禁用 SSL 会自动删除上述我们的官方提供商的 CAA DNS 记录。 ? |
 |
10
Showfom 2021-07-15 05:01:52 +08:00
开启了他们的 CDN 或 DNS 就会自动给你签发证书,所以需要给你域名加个 CAA 记录也可以理解,但是用户也可以自己添加 CAA 记录的嘛
|
 |
11
bullfrog 2021-07-15 07:22:41 +08:00
网络中立原则不是被废除了么。。
|
 |
12
alexkkaa 2021-07-15 07:55:35 +08:00 via Android
搞不懂 ssl 证书为啥卖这么贵,作为一个白嫖党我是力挺 cf 和 lets 的
|
|
13
learningman 2021-07-15 09:17:14 +08:00 via Android
@Nyarime 我去你们官网瞄了一眼,申请证书还限制后缀的呗。。。
|
 |
14
AoEiuV020 2021-07-15 09:30:33 +08:00
刚知道 caa,试了下托管在 cf 代理的一个域名,没 dig 出 caa,
|
 |
15
ruixue 2021-07-15 09:34:48 +08:00
|
 |
16
Jirajine 2021-07-15 11:20:06 +08:00 via Android
只要某些网站还是托管在 cloudflare,作为中国用户就可以一直相信 cloudflare 。 感谢伽利略计划。
|
|
17
Nyarime OP @casparchen 你和老王卖苹果,你家村长规定老王家掏钱就能买,而买你家必须审批。
这叫公平? |
|
20
casparchen 2021-07-15 14:00:37 +08:00 via iPhone
@Nyarime 支持吗?
|
|
21
Nyarime OP @casparchen 你就说公平吗?不回答我也不会回答你
|
|
22
casparchen 2021-07-15 14:35:09 +08:00 via iPhone
@Nyarime 公平,支持吗?
|
|
23
Nyarime OP @casparchen 你三观可以的,但愿你隔壁真的来个公平的老王
|
|
24
casparchen 2021-07-15 15:35:25 +08:00 via iPhone
@casparchen 所以是支持吗?
|
 |
29
timpaik 2021-07-18 20:07:59 +08:00 via Android
稍微有经验的都知道 CAA 记录吧
|
 |
30
yanqiyu 2021-08-09 08:57:55 +08:00
这不是技术问题吗,Cloudflare 需要托管证书,用户自己设置了 CAA 的情况下 Cloudflare 不设置 CAA 怎么签发证书给 edge 节点用
|
|
31
yanqiyu 2021-08-09 08:58:33 +08:00
可能是之前有过 CAA 记录,现在删除掉了,给客服发邮件问问应该就能解决
|
 |
32
aes114514gcm 2021-08-09 18:05:22 +08:00
@Nyarime 这不代表之前没添加过,用户行为量子不可测
”当您启用 Universal SSL 并通过 Cloudflare DNS 应用添加 CAA 记录时,Cloudflare 会为我们的每个 Universal SSL CA 提供商自动添加三个额外的 CAA DNS 记录“ 审核日志( Audit Log )里可以查询到操作记录 |
Select Language