Embed Notice

用 Let's Encrypt 提供的 accounturi 保護不被 ISP 使用 http-01 取得 SSL 憑證

先前提到 ISP 可以透過 http-01 的方式申請到合法的 SSL 憑證的方式：「ISP 偽造出合法的 SSL certificate，對放在德國的 xmpp.ru 進行 MITM 監聽」。

Let's Encrypt 是有提供對應的方法，透過 DNS 的 CAA record 限制只有特定的帳號才能使用 http-01 的方式取得 SSL 憑證，這樣就可以避免 ISP 從中間申請到。

方法在「Certificate Authority Authorization (CAA)」這頁，設定的方式是先取得機器上的 account id，像是我用 dehydrated 的，會在 /etc/dehydrated/accounts/ooxx/account_id.json 這個檔案裡面，像是這樣：

{"url":"https://acme-v02.api.letsencrypt.org/acme/acct/104177199"}

其中的 ht