Defaults.Exposed

Defaults.Exposedการแก้ไข › ระเบียน CAA

วิธีแก้ไข ระเบียน CAA

ระเบียน CAA เป็นคำสั่งสั้นๆ ในการตั้งค่าโดเมนของคุณที่ระบุว่าบริษัทใบรับรองใดได้รับอนุญาตให้ออกใบรับรองความปลอดภัย 'padlock' สำหรับเว็บไซต์ของคุณ เมื่อเปิดใช้งาน ไม่มีบริษัทอื่นสามารถสร้างใบรับรองที่ถูกต้องในนามของคุณอย่างเงียบๆ

สรุปสำหรับธุรกิจของคุณ: หากไม่มีระเบียน CAA บริษัทใบรับรองหลายร้อยแห่งทั่วโลกแทบทุกแห่งสามารถออกใบรับรอง padlock จริงที่น่าเชื่อถือเต็มรูปแบบสำหรับโดเมนของคุณ — ทำให้นักต้มตุ๋นสามารถสร้างโคลนของเว็บไซต์ของคุณที่ดูสมบูรณ์แบบและ 'ปลอดภัย' เพื่อดักรับข้อมูล login และรายละเอียดบัตรของลูกค้าของคุณ โดยไม่มีสัญญาณเตือนบนหน้าจอ

สิ่งนี้อาจทำให้คุณเสียค่าใช้จ่าย

เหตุใดจึงสำคัญ ขณะนี้ประตูเปิดกว้าง: บริษัทใบรับรองใดๆ บนโลกสามารถรับรองเว็บไซต์ที่อ้างว่าเป็นของคุณ ไม่ว่าคุณจะเคยติดต่อกับพวกมันหรือไม่ ระเบียน CAA ล็อคประตูนั้นเพื่อให้เฉพาะผู้ให้บริการที่คุณเลือกเท่านั้นที่สามารถออกใบรับรอง — มันเป็นการป้องกันที่ง่ายและถูกที่สุดที่มีต่อใครบางคนที่แอบอ้างเป็นธุรกิจของคุณออนไลน์

วิธีแก้ไข ทีละขั้นตอน

  1. บันทึก certificate authority ของคุณ. แสดงรายการ CA ที่ออกใบรับรองของคุณ เช่น Let's Encrypt หรือ CA ของ host ของคุณ
  2. เพิ่มระเบียน CAA. สร้างระเบียน CAA ที่ domain root เพื่ออนุญาตเฉพาะ CA เหล่านั้น เช่น 0 issue "letsencrypt.org"
  3. ครอบคลุม wildcard และการแจ้งเตือน. เพิ่ม issuewild ถ้าคุณใช้ wildcard certs และ iodef mailto เพื่อรับการแจ้งเตือนเมื่อมีการละเมิด
  4. ห้ามล็อคการต่ออายุ. ตรวจสอบให้แน่ใจว่า CA ทุกตัวที่คุณใช้จริงอยู่ในรายการ หรือการต่ออายุใบรับรองในอนาคตจะล้มเหลว
  5. ยืนยันว่ามันทำงาน. ตรวจสอบใหม่เพื่อยืนยันว่าระเบียน CAA มีอยู่และมีรูปแบบที่ดี

ระเบียน CAA ในคำพูดง่ายๆ

เว็บไซต์ที่ปลอดภัยทุกแห่งมีใบรับรอง — สิ่งที่อยู่เบื้องหลัง padlock ในเบราว์เซอร์และ “https” ที่ด้านหน้าของที่อยู่ของคุณ ใบรับรองเหล่านั้นออกโดยบริษัทเฉพาะทางที่เรียกว่า certificate authorities (CA): ชื่อเช่น Let’s Encrypt, DigiCert, Sectigo, Google Trust Services เมื่อเบราว์เซอร์ของคุณเห็นใบรับรองที่ถูกต้อง มันแสดง padlock และบอกลูกค้าของคุณว่าการเชื่อมต่อเป็นของแท้และปลอดภัย

นี่คือส่วนที่เจ้าของธุรกิจส่วนใหญ่ไม่เคยได้รับแจ้ง: ตามค่าเริ่มต้น certificate authority หลายร้อยแห่งทั่วโลกแต่ละแห่งได้รับอนุญาตให้ออกใบรับรองสำหรับโดเมนของคุณ — ไม่ว่าคุณจะเคยได้ยินชื่อพวกมันหรือไม่ ระเบียน CAA (Certification Authority Authorization) คือบันทึกหนึ่งบรรทัดที่คุณเพิ่มในการตั้งค่า DNS ของโดเมนที่บอกว่า “เฉพาะผู้ให้บริการเหล่านี้เท่านั้นที่ได้รับอนุญาตให้ออกใบรับรองสำหรับฉัน” certificate authority ที่ถูกกฎหมายทุกแห่งจำเป็นต้องตรวจสอบบันทึกนั้นก่อนออก — และปฏิเสธถ้าพวกมันไม่อยู่ในรายการของคุณ

มันคือความแตกต่างระหว่างประตูด้านหน้าที่ไม่ล็อคที่ใครก็ตามสามารถเดินผ่านได้ และประตูที่มีเฉพาะคนที่คุณเลือกเท่านั้นที่ถือกุญแจ และมันไม่มีค่าใช้จ่ายในการเพิ่ม

สิ่งนี้อาจทำให้คุณสูญเสียอะไร

ความเสี่ยงที่ระเบียน CAA ปิดคือการแอบอ้างที่น่าเชื่อ เมื่อนักต้มตุ๋นสามารถรับใบรับรองจริงสำหรับสำเนาเว็บไซต์ของคุณ สัญญาณเตือนปกติจะหายไป — ไม่มี padlock ที่เสียหาย ไม่มีแบนเนอร์ “ไม่ปลอดภัย” ไม่มีข้อผิดพลาดใบรับรอง ทุกอย่างดูถูกต้อง ซึ่งเป็นเหตุผลที่ทำให้มันอันตราย

มันคืออะไรจริงๆ และ “ดี” ดูเหมือนอะไร

ระเบียน CAA อยู่ใน DNS ของโดเมนของคุณ — การตั้งค่าเดียวกับที่ชี้โดเมนของคุณไปยังเว็บไซต์และอีเมล แต่ละระเบียนมีสามส่วน: flag, tag และ value tag ที่สำคัญคือ:

“ดี” ดูเหมือน: มีระเบียน issue (หรือ issuewild) อย่างน้อยหนึ่งรายการ ระบุชื่อผู้ให้บริการที่คุณใช้จริง โดย wildcard ถูกจำกัดไว้กับผู้ให้บริการที่ระบุชื่อหรือถูกบล็อก โดเมนที่ไม่มีระเบียน CAA เลยถือว่าเป็นประตูที่เปิดอยู่อย่างที่มันเป็น

สิ่งนี้ส่งผลต่อเกรดของฉันไหม? ใช่ ระเบียน CAA ที่หายไปเป็นรายการที่ให้คะแนนและถูกทำเครื่องหมายด้วยความรุนแรงปานกลาง — มันเป็นช่องว่างจริง ไม่ใช่แค่ nice-to-have เพราะมันปล่อยให้เส้นทางการแอบอ้างจริงเปิดอยู่ การเพิ่มระเบียนปิดช่องว่างและล้างการค้นพบ

วิธีแก้ไข (ฟรี ~5 นาที)

ส่งส่วนนี้ให้ผู้ที่จัดการโดเมนหรือเว็บไซต์ของคุณ — การแก้ไขฟรี มันเป็นการเปลี่ยนแปลง DNS เล็กน้อย ไม่ใช่การสร้างใหม่

ขั้นตอนที่ 1 — ค้นหาว่าคุณใช้ certificate authority ใดจริงๆ นี่คือขั้นตอนเดียวที่ควรทำให้ถูกต้อง เพราะการแสดงรายการผู้ให้บริการที่ผิดสามารถบล็อกการต่ออายุครั้งต่อไปของคุณ กรณีทั่วไป:

ถ้าไม่แน่ใจ ดูใบรับรองปัจจุบันในเบราว์เซอร์ (คลิก padlock → รายละเอียดใบรับรอง → “ออกโดย”) เพื่อดูว่าใครออกมัน

ขั้นตอนที่ 2 — เข้าสู่ระบบ DNS provider ของคุณ นี่คือที่ที่ระเบียนของโดเมนของคุณอยู่ — มักจะเป็น registrar, web host หรือ Cloudflare ของคุณ หาส่วนระเบียน DNS และเลือกเพิ่มระเบียนใหม่ประเภท CAA (บาง interface ระบุว่าประเภท 257)

ขั้นตอนที่ 3 — เพิ่มระเบียน issue สำหรับผู้ให้บริการแต่ละรายที่คุณใช้ สำหรับ Let’s Encrypt ตัวอย่างเช่น:

example.com.   CAA   0 issue "letsencrypt.org"

เพิ่มบรรทัด issue หนึ่งบรรทัดต่อผู้ให้บริการที่ถูกกฎหมาย DNS dashboard ส่วนใหญ่ให้ช่องแยกสำหรับ flag (0), tag (issue) และ value (โดเมนของ CA) ดังนั้นคุณไม่ต้องพิมพ์ทั้งบรรทัดด้วยมือ

ขั้นตอนที่ 4 — ควบคุมใบรับรอง wildcard ถ้าคุณไม่ได้ใช้ wildcard บล็อกพวกมันอย่างสมบูรณ์เพื่อให้ไม่มีใครสามารถรับอันหนึ่งอย่างเงียบๆ:

example.com.   CAA   0 issuewild ";"

ถ้าคุณใช้ wildcard ระบุชื่อผู้ให้บริการแทน: 0 issuewild "letsencrypt.org"

ขั้นตอนที่ 5 — (แนะนำ) เพิ่มที่อยู่การแจ้งเตือน เพื่อให้คุณได้รับแจ้งเมื่อ CA ปฏิเสธความพยายาม — สัญญาณเตือนล่วงหน้าของคุณว่ามีคนพยายาม:

example.com.   CAA   0 iodef "mailto:[email protected]"

ขั้นตอนที่ 6 — บันทึกและยืนยัน รัน dig CAA example.com (หรือใช้เครื่องมือ DNS lookup ออนไลน์ใดๆ) และยืนยันว่าระเบียนของคุณปรากฏขึ้น การเปลี่ยนแปลงอาจใช้เวลาตั้งแต่สองสามนาทีไปจนถึงสองสามชั่วโมงในการแพร่กระจายทั่วอินเทอร์เน็ต ใบรับรองที่มีอยู่และการต่ออายุทั้งหมดทำงานต่อเนื่องตลอดเวลา — CAA ควบคุมเฉพาะการออกใหม่

บันทึกแพลตฟอร์มด่วน: ใน Cloudflare, DNS → Records → Add record → ประเภท CAA ใน Google Workspace คุณจัดการ DNS ที่ registrar (หรือ Cloud DNS ถ้าคุณใช้) — เพิ่มระเบียน CAA ที่นั่นด้วย pki.goog ใน Microsoft 365 CAA ไม่ได้ตั้งค่าใน M365 admin centre; เพิ่มมันที่ใดก็ตามที่ DNS ของโดเมนของคุณโฮสต์ ระบุชื่อ CA ที่จัดการใบรับรอง (มักจะเป็น DigiCert) ในhost ทั่วไป (GoDaddy, Namecheap, Blacknight ฯลฯ) มันอยู่ใน DNS panel เดียวกับที่ระเบียน A และ MX ของคุณอยู่

ข้อผิดพลาดทั่วไป

ชั้นเทคนิค (ส่งให้ผู้ดูแลระบบ IT ของคุณ)

CAA ถูกกำหนดใน RFC 8659 และบังคับใช้ภายใต้ CA/Browser Forum Baseline Requirements — CA ที่ถูกเชื่อถือสาธารณะทุกแห่งจำเป็นต้องตรวจสอบ CAA ในเวลาออก ระเบียนมีรูปแบบ <flags> <tag> <value> โดยมี tag issue, issuewild และ iodef นโยบาย issue หรือ issuewild ที่ไม่ว่างเปล่าคือสิ่งที่ทำให้การตรวจสอบนี้ผ่าน การมี iodef เพียงอย่างเดียวไม่ผ่าน (มันเป็น reporting ไม่ใช่ authorization)

baseline ที่ดีที่ apex:

example.com.   CAA   0 issue "letsencrypt.org"
example.com.   CAA   0 issuewild ";"
example.com.   CAA   0 iodef "mailto:[email protected]"

บันทึกสำหรับผู้ implement:

ตั้งค่าบนโฮสต์ของคุณ

ทีละขั้นตอนสำหรับผู้ให้บริการยอดนิยม:

คำถามที่พบบ่อย

ฉันไม่ใช่คนเทคนิค — ฉันสามารถจัดการเรื่องนี้เองได้ไหม?

คุณไม่จำเป็นต้องเข้าใจรายละเอียด แต่การแก้ไขเป็นการเปลี่ยนแปลงเล็กน้อยในการตั้งค่า DNS ของโดเมนของคุณ ดังนั้นจึงควรส่งต่อให้ผู้ที่จัดการเว็บไซต์หรือโดเมนของคุณ ส่งส่วน 'วิธีแก้ไข' ด้านล่างให้พวกมัน — เป็นการเปลี่ยนแปลงห้านาทีที่ไม่มีค่าใช้จ่าย

การเพิ่มสิ่งนี้จะทำให้เว็บไซต์หรือใบรับรองของฉันเสียหายไหม?

ไม่ — ตราบใดที่คุณแสดงรายการผู้ให้บริการใบรับรองที่คุณใช้จริง ทุกอย่างก็ทำงานเหมือนเดิม ระเบียน CAA ไม่ได้แตะหรือแทนที่ใบรับรองที่มีอยู่ของคุณ มันควบคุมเฉพาะว่าใครได้รับอนุญาตให้สร้างอันใหม่ วิธีเดียวที่จะก่อให้เกิดปัญหาคือการละเว้นผู้ให้บริการจริงของคุณออกจากรายการ ซึ่งสามารถบล็อกการต่ออายุอัตโนมัติครั้งต่อไปของคุณ — ขั้นตอนด้านล่างเขียนขึ้นโดยเฉพาะเพื่อหลีกเลี่ยงสิ่งนั้น

ถ้าใบรับรองออกอัตโนมัติในปัจจุบัน ทำไมฉันยังต้องการสิ่งนี้?

ใบรับรองอัตโนมัติสะดวก — ปัญหาคือระบบเปิดสำหรับทุกคนตามค่าเริ่มต้น รวมถึงใครบางคนที่แกล้งทำเป็นคุณ ระเบียน CAA เพียงแค่ระบุชื่อผู้ที่ได้รับอนุญาต เปลี่ยนประตูที่เปิดอยู่เป็นประตูที่มีล็อคของคุณเอง มันทำงานร่วมกับการออกอัตโนมัติ ไม่ใช่ต่อต้านมัน

สิ่งนี้ส่งผลต่อ ranking ใน Google หรือเกรดในรายงานนี้ไหม?

มันส่งผลต่อเกรดความปลอดภัยของคุณที่นี่ — ระเบียน CAA ที่หายไปเป็นรายการที่ให้คะแนน ถูกทำเครื่องหมายว่าเป็นช่องว่างระดับความรุนแรงปานกลาง เพราะมันปล่อยให้เส้นทางการแอบอ้างจริงเปิดอยู่ มันไม่ใช่ปัจจัย ranking ของ Google โดยตรง แต่การแอบอ้างและ phishing ที่มันป้องกันเป็นประเภทของเหตุการณ์ที่ทำลายความไว้วางใจและ traffic

'issue' และ 'issuewild' ต่างกันอย่างไร?

ระเบียน 'issue' ควบคุมใบรับรองปกติสำหรับโดเมนและ subdomain ของคุณ ระเบียน 'issuewild' ควบคุมใบรับรอง wildcard — ใบรับรองเดียวที่ครอบคลุมทุก subdomain ที่เป็นไปได้ในคราวเดียว (เช่น *.example.com) Wildcard มีพลังมากกว่าและด้วยเหตุนี้จึงมีความเสี่ยงมากกว่าในมือที่ผิด ดังนั้นควรควบคุมแยกต่างหาก: ถ้าคุณไม่ใช้ wildcard บล็อกพวกมันอย่างสมบูรณ์

เราใช้ Cloudflare / Google Workspace / Microsoft 365 — นั้นครอบคลุมมันแล้วไหม?

ไม่อัตโนมัติ แพลตฟอร์มเหล่านั้นจัดการใบรับรองให้คุณ แต่ถ้าคุณไม่ได้เพิ่มระเบียน CAA อย่างชัดเจน โดเมนของคุณยังบอกโลกว่า 'หน่วยงานใดก็ตามอาจออกได้' ข่าวดีคือการแก้ไขเป็นการเปลี่ยนแปลง DNS ง่ายๆ เดียวกันสำหรับทุกคน