Sử dụng bản ghi DNS CAA để ủy quyền cho CA cấp chứng chỉ TLS.
DNS CAA là gì?
CAA là một loại bản ghi DNS hướng dẫn CA có nên cấp chứng chỉ hay không. Nói cách khác, bạn cho cả thế giới biết ai sẽ cấp chứng chỉ SSL/TLS cho miền của bạn. Việc triển khai CAA đã trở thành bắt buộc vào cuối năm 2017, do đó, nó tương đối mới và ít hơn 5% các trang web phổ biến đã triển khai nó.
Hãy lấy một ví dụ – newsblog.pl sở hữu một trang web có tên “gf.dev” có bản ghi CAA sau.
gf.dev. 3586 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "comodoca.com" gf.dev. 3586 IN CAA 0 issue "comodoca.com" gf.dev. 3586 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" gf.dev. 3586 IN CAA 0 issuewild "letsencrypt.org" gf.dev. 3586 IN CAA 0 issue "letsencrypt.org"
Nhìn vào kết quả trên, tôi chỉ có thể nhận được chứng chỉ được cấp từ DigiCert, Comodo và Let’s Encrypt. Nếu tôi yêu cầu Thawte hoặc CA khác cấp chứng chỉ cho gf.dev, họ sẽ không thể làm được. Ngoài ra, nếu bạn chú ý, bạn sẽ nhận thấy rằng một số mục có vấn đề và một số có vấn đề. Hãy cùng tìm hiểu xem chúng là gì nhé.
- vấn đề – hướng dẫn CA chỉ cấp chứng chỉ cho miền này.
- issuewild – CA có thể cấp chứng chỉ ký tự đại diện để sử dụng trong miền hoặc miền phụ.
Bản ghi CAA cũng hỗ trợ định dạng iodef (định dạng trao đổi mô tả đối tượng sự cố), cho phép CA gửi báo cáo vi phạm đến địa chỉ email hoặc thông tin liên hệ được cung cấp.
Điều gì xảy ra khi không tìm thấy bản ghi CAA?
Nếu một miền không có bản ghi CAA, bất kỳ ai cũng có thể tạo CSR cho miền đó và nhận chứng chỉ được ký bởi bất kỳ CA nào. Đây là một rủi ro bảo mật.
Bây giờ rõ ràng chưa?
Có một vài phím tắt tôi đã sử dụng ở trên. Hãy kiểm tra xem chúng là gì.
- DNS – hệ thống tên miền
- CA – cơ quan chứng nhận
- CAA – ủy quyền của cơ quan chứng nhận
- TLS – Bảo mật tầng vận chuyển
- SSL – Lớp cổng bảo mật
Làm cách nào để kiểm tra bản ghi DNS CAA?
Có nhiều cách để xác minh hồ sơ CAA. Nếu bạn không muốn thoát khỏi terminal, bạn có thể kiểm tra bằng lệnh dig.
dig caa $YOURWEBSITE.COM
Ví dụ newsblog.pl.com
ro[email protected]:~# dig caa newsblog.pl.com ; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> caa newsblog.pl.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54430 ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 65494 ;; QUESTION SECTION: ;newsblog.pl.com. IN CAA ;; ANSWER SECTION: newsblog.pl.com. 3600 IN CAA 0 issuewild "comodoca.com" newsblog.pl.com. 3600 IN CAA 0 issuewild "letsencrypt.org" newsblog.pl.com. 3600 IN CAA 0 issue "comodoca.com" newsblog.pl.com. 3600 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" newsblog.pl.com. 3600 IN CAA 0 issue "letsencrypt.org" newsblog.pl.com. 3600 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" ;; Query time: 7 msec ;; SERVER: 127.0.0.53#53(127.0.0.53) ;; WHEN: Tue Oct 08 07:12:21 UTC 2019 ;; MSG SIZE rcvd: 298 [email protected]:~#
Nếu muốn kiểm tra từ xa, bạn có thể sử dụng công cụ trực tuyến CAA DNS Tester.
Làm cách nào để thêm bản ghi CAA?
Về mặt kỹ thuật, đây giống như cách bạn thêm các bản ghi DNS khác như A, NS, CNAME, v.v.
Nếu bạn đang sử dụng Cloudflare, hãy chuyển đến tab DNS >> thêm bản ghi và chọn loại CAA.
Đối với GoDaddy, đi tới Quản lý DNS và thêm bản ghi
Nếu không chắc chắn cách thêm phần này, bạn có thể liên hệ với nhà cung cấp dịch vụ lưu trữ/DNS của mình để được trợ giúp.
Đăng kí
Nếu chưa có, bạn nên sử dụng bản ghi CAA để thêm một lớp bảo mật miền. Không có chi phí để thêm một bản ghi CAA.
Thích bài viết? Làm thế nào về chia sẻ với thế giới?
