证书CAA合规测试套件
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
CAA Test Suite 是一个面向证书颁发机构(CA)的合规测试套件,用于检查 CA 是否按照 CA/Browser Forum Baseline Requirements 正确执行 CAA checking。它不是传统意义上的 IDE 插件或开发框架,而是一组预置的测试域名与 DNS zone 配置,用来验证证书签发前的 CAA 查询与拒签逻辑。
从正文看,其重点覆盖 deny 测试、特殊测试和变更记录。deny 测试包括空 issue、指定 issue、大小写混合的 ISSUE 标签、1001 条巨大 CAA 记录集、未知 critical property、父域树爬升、通配符域名、CNAME 到 CNAME、DNAME、IPv6-only authoritative name server,以及多种 DNSSEC 异常,如签名过期、签名缺失、非响应服务器、SERVFAIL 和 REFUSED。特殊测试则关注 CA 自动添加 www 或 base domain 到 SAN 时是否也会执行 CAA 检查。此外,xss.caatestsuite.com 用于检查 issue 属性包含 HTML/JavaScript 时 CA 网站是否存在 XSS 风险。
页面说明 zone files 托管在 GitHub,有问题可 open issue,这对审计和反馈较友好。但正文没有明确许可证、维护主体、API、SDK 或自动化执行工具,也没有说明如何把这些测试接入 CA 内部流水线。因此它更像一个标准化测试数据集,而不是完整测试平台。文档以表格方式列出 FQDN 和测试描述,覆盖面清楚,但缺少详细操作指南、预期验证步骤和结果判定模板。
正文未提及商业定价、付款方式或服务计划。由于测试域名公开列出,zone files 在 GitHub,可推测使用门槛较低,但不能据此断言其正式授权或 SLA。自托管方面仅知道 zone files 可查看,未说明是否支持完整自托管部署。
优点是测试点非常专业,覆盖 CAA、DNSSEC、CNAME/DNAME、通配符和 SAN 自动添加等容易出错的边界场景;变更日志也便于追踪演进。缺点是面向高度专业的 PKI 场景,普通开发者价值有限,且缺少自动化工具链和服务支持信息。它最适合 CA 工程团队、合规审计人员、DNS/PKI 开发者用于签发逻辑验证。
中国大陆访问情况正文未说明。域名本身可能可直连,但 GitHub 上的 zone files 在国内网络下可能不稳定;支付信息不存在。若需要替代方案,正文未提供可比产品,只能在企业内部基于 CA/B Forum 要求自建测试用例。
本测评基于公开资料整理,不构成购买建议,请以 caatestsuite.com 官网实际信息为准。
面向CA与安全工程师的开源测试资源。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。