Defaults.Exposed › Cách khắc phục › Bản ghi CAA

Cách khắc phục Bản ghi CAA

Bản ghi CAA là hướng dẫn ngắn trong cài đặt tên miền của bạn đặt tên công ty nào được phép cấp chứng chỉ bảo mật 'ổ khóa' cho website của bạn. Khi được bật, không công ty nào khác có thể âm thầm tạo chứng chỉ hợp lệ nhân danh bạn.

Điểm mấu chốt với doanh nghiệp bạn: Không có bản ghi CAA, gần như bất kỳ công ty nào trong số hàng trăm công ty chứng chỉ trên thế giới đều có thể cấp chứng chỉ ổ khóa thật, được tin hoàn toàn cho tên miền của bạn — cho phép kẻ lừa đảo dựng lên bản sao trang của bạn trông hoàn hảo, đầy đủ 'an toàn' để thu thập thông tin đăng nhập và thẻ của khách hàng, không có gì trên màn hình để cảnh báo họ.

Điều này có thể gây thiệt hại gì

Kẻ lừa đảo lấy chứng chỉ thật cho bản sao trang của bạn, vì vậy nó hiển thị ổ khóa xanh và HTTPS — khách hàng không thấy gì sai, gõ mật khẩu và số thẻ, và bạn chỉ biết khi chargeback và cuộc gọi tức giận bắt đầu.
Khách hàng của bạn bị lừa đảo qua bản sao hoàn hảo pixel trang đăng nhập của bạn; hậu quả — hoàn tiền, gánh nặng hỗ trợ, thiệt hại danh tiếng — đổ lên thương hiệu của bạn ngay cả khi trang thật của bạn không bao giờ bị đụng đến.
Nhóm bảo mật hoặc thu mua của khách hàng tiềm năng chạy kiểm tra nhanh tên miền của bạn trước khi ký, thấy không có bảo vệ CAA, và âm thầm đánh giá bạn là 'yếu về cơ bản' — đặt thỏa thuận vào rủi ro vì cài đặt mất năm phút để thêm.
Một trong số các công ty chứng chỉ trên thế giới bị xâm phạm (điều này đã xảy ra nhiều lần — DigiNotar, Comodo, Symantec), và vì bạn không bao giờ nói ai được phép hành động cho bạn, tên miền của bạn bị phơi lộ với bất kỳ cái nào hóa ra là mắt xích yếu nhất.

Tại sao điều này quan trọng. Ngay bây giờ cửa hoàn toàn mở: bất kỳ công ty chứng chỉ nào trên Trái Đất có thể bảo lãnh cho trang nói là của bạn, dù bạn đã từng giao dịch với họ hay không. Bản ghi CAA khóa cửa đó để chỉ nhà cung cấp bạn chọn có thể cấp chứng chỉ — đây là sự bảo vệ đơn giản, rẻ nhất chống lại ai đó mạo danh doanh nghiệp của bạn trực tuyến.

Bản ghi CAA, giải thích đơn giản

Mỗi website an toàn có chứng chỉ — thứ đằng sau ổ khóa trong trình duyệt và “https” ở đầu địa chỉ. Những chứng chỉ đó được cấp bởi các công ty chuyên biệt gọi là cơ quan chứng chỉ (CA): các tên như Let’s Encrypt, DigiCert, Sectigo, Google Trust Services. Khi trình duyệt thấy chứng chỉ hợp lệ, nó hiển thị ổ khóa và nói với khách hàng rằng kết nối là thật và an toàn.

Đây là phần mà hầu hết chủ doanh nghiệp chưa bao giờ được nói: theo mặc định, hàng trăm cơ quan chứng chỉ này trên khắp thế giới đều được phép cấp chứng chỉ cho tên miền của bạn — dù bạn đã từng nghe về họ hay không. Bản ghi CAA (Certification Authority Authorization) là ghi chú một dòng bạn thêm vào cài đặt DNS của tên miền nói, thực chất: “chỉ các nhà cung cấp này được phép cấp chứng chỉ cho tôi.” Mọi cơ quan chứng chỉ hợp pháp đều được yêu cầu theo các quy tắc của ngành kiểm tra ghi chú đó trước khi cấp — và từ chối nếu họ không có trong danh sách.

Đó là sự khác biệt giữa cửa trước không khóa mà bất kỳ ai có thể đi qua, và cửa nơi chỉ những người bạn chọn mới giữ chìa khóa. Và không tốn gì để thêm.

Điều này có thể khiến bạn mất gì

Rủi ro mà bản ghi CAA đóng lại là mạo danh thuyết phục. Khi kẻ lừa đảo có thể lấy chứng chỉ thật cho bản sao trang của bạn, các dấu hiệu cảnh báo thông thường biến mất — không có ổ khóa hỏng, không có biểu ngữ “không an toàn”, không có lỗi chứng chỉ. Mọi thứ trông đúng, đó chính xác là điều làm nó nguy hiểm.

Bản sao hoàn hảo. Kẻ lừa đảo đăng ký địa chỉ trông giống (hoặc xâm phạm đường đến khách hàng của bạn), lấy chứng chỉ thật, và dựng lên bản sao hoàn hảo trang đăng nhập hoặc thanh toán của bạn — ổ khóa và tất cả. Khách hàng nhập mật khẩu và số thẻ như bình thường. Lần đầu bạn nghe là một đợt chargeback, báo cáo gian lận, và cuộc gọi điện thoại tức giận.
Chiến dịch phishing nhân danh bạn. Kẻ tấn công gửi email “vui lòng xác nhận tài khoản của bạn” liên kết đến bản sao có chứng chỉ của trang của bạn. Vì trang trông đầy đủ an toàn, nhiều người bị lừa hơn. Việc dọn dẹp — thông báo khách hàng, hoàn tiền, giờ hỗ trợ, giải thích công khai khó xử — đều đổ lên bạn, ngay cả khi máy chủ thật của bạn không bao giờ bị đụng đến.
Thỏa thuận đình trệ trên danh sách kiểm tra. Nhóm bảo mật hoặc thu mua của khách hàng lớn hơn quét tên miền của bạn trước khi ký. “Không có bản ghi CAA” xuất hiện như mục đỏ hoặc amber bên cạnh tên của bạn. Kỹ thuật là thứ nhỏ, nhưng nó đọc là “không bao gồm những điều cơ bản,” và nó có thể làm chậm hoặc hủy hợp đồng bạn có thể thắng.
Bị bắt gặp bởi vi phạm của người khác. Cơ quan chứng chỉ bạn chưa từng giao dịch bị xâm phạm — đây không phải giả thuyết; DigiNotar, Comodo và Symantec đều có sự cố nghiêm trọng. Vì bạn chưa bao giờ hạn chế ai có thể hành động cho bạn, kẻ tấn công có thể lấy chứng chỉ hợp lệ cho tên miền của bạn qua CA yếu đó. Bản ghi CAA đã từ chối họ.
Điểm mù wildcard. Ngay cả những doanh nghiệp cẩn thận về trang chính thường quên tên miền phụ. Không có quy tắc issuewild, kẻ tấn công có thể lấy chứng chỉ wildcard hiệu quả lấy chìa khóa đến mọi tên miền phụ bạn sẽ có cùng lúc.

Không ai trong số này yêu cầu cuộc tấn công tinh vi vào máy chủ của bạn. Chúng khai thác thực tế rằng, không có bản ghi CAA, hệ thống chứng chỉ rộng hơn đơn giản là quá tin tưởng thay mặt bạn.

Thực ra nó là gì, và “tốt” trông như thế nào

Bản ghi CAA sống trong DNS của tên miền — cùng cài đặt trỏ tên miền của bạn đến website và email. Mỗi bản ghi có ba phần: cờ, tag, và giá trị. Các tag quan trọng là:

issue — đặt tên cơ quan chứng chỉ được phép cấp chứng chỉ thông thường cho tên miền của bạn. Bạn có thể có nhiều, một cho mỗi nhà cung cấp bạn hợp pháp dùng.
issuewild — kiểm soát chứng chỉ wildcard (một chứng chỉ bao phủ mọi tên miền phụ, ví dụ *.example.com). Nếu bạn không dùng wildcard, cài đặt được khuyến nghị chặn chúng hoàn toàn.
iodef — địa chỉ liên lạc tùy chọn nơi bạn sẽ được thông báo nếu cơ quan chứng chỉ từ chối yêu cầu vì chính sách CAA của bạn. Đây là cảnh báo sớm rằng ai đó đã thử.

“Tốt” trông như thế nào: ít nhất một bản ghi issue (hoặc issuewild) hiện diện, đặt tên (các) nhà cung cấp bạn thực sự dùng, với wildcard được hạn chế cho nhà cung cấp được đặt tên hoặc bị chặn. Đó là tiêu chuẩn kiểm tra này đo — nó tra cứu bản ghi CAA của tên miền của bạn qua nhiều resolver độc lập và đạt khi tìm thấy chính sách issue hoặc issuewild thật. Tên miền không có bản ghi CAA nào được coi là cửa mở mà nó đang là.

Điều này có ảnh hưởng điểm của tôi không? Có. Bản ghi CAA thiếu là mục có điểm và được gắn cờ ở nghiêm trọng trung bình — đây là khoảng cách thật, không chỉ là tốt để có, vì nó để lại đường mạo danh thật mở. Thêm bản ghi đóng khoảng cách và xóa phát hiện.

Cách sửa (miễn phí, ~5 phút)

Chuyển phần này cho người quản lý tên miền hoặc website của bạn — bản sửa miễn phí. Đây là thay đổi DNS nhỏ, không phải xây lại. Chúng tôi chỉ tính phí nếu sau này bạn muốn chúng tôi tiếp tục theo dõi bản ghi vẫn còn; thêm nó không tốn gì.

Bước 1 — Tìm hiểu cơ quan chứng chỉ nào bạn thực sự dùng. Đây là bước duy nhất đáng làm đúng, vì liệt kê nhà cung cấp sai có thể chặn lần gia hạn tiếp theo. Các trường hợp phổ biến:

Let’s Encrypt — được dùng bởi nhiều host và control panel (cPanel, Plesk) → letsencrypt.org
Cloudflare (nếu nó cấp chứng chỉ edge của bạn) → letsencrypt.org, digicert.com, comodoca.com, pki.goog, và ssl.com (Cloudflare dùng nhiều CA back-end; liệt kê những cái bảng điều khiển của nó hiển thị, hoặc bộ đầy đủ, để gia hạn không bao giờ bị hỏng)
Google Workspace / Google Trust Services → pki.goog
DigiCert → digicert.com
Sectigo / Comodo → sectigo.com (và comodoca.com)
Microsoft 365 / Azure — Microsoft thường dùng DigiCert cho chứng chỉ được quản lý → digicert.com (xác nhận trong cổng thông tin của bạn)

Nếu không chắc, nhìn vào chứng chỉ hiện tại trong trình duyệt (nhấp ổ khóa → chi tiết chứng chỉ → “Issued by”) để xem ai đã cấp nó.

Bước 2 — Đăng nhập nhà cung cấp DNS của bạn. Đây là nơi bản ghi tên miền của bạn sống — thường là registrar, web host, hoặc Cloudflare. Tìm phần bản ghi DNS và chọn thêm bản ghi mới loại CAA (một số giao diện gắn nhãn nó loại 257).

Bước 3 — Thêm bản ghi issue cho mỗi nhà cung cấp bạn dùng. Ví dụ với Let’s Encrypt:

example.com.   CAA   0 issue "letsencrypt.org"

Thêm một dòng issue cho mỗi nhà cung cấp hợp pháp. Hầu hết bảng DNS cho bạn các ô riêng biệt cho cờ (0), tag (issue), và giá trị (tên miền của CA) để bạn không gõ toàn bộ dòng bằng tay.

Bước 4 — Kiểm soát chứng chỉ wildcard. Nếu bạn không dùng wildcard, chặn chúng hoàn toàn để không ai có thể lặng lẽ lấy một cái:

example.com.   CAA   0 issuewild ";"

Nếu bạn có dùng wildcard, đặt tên nhà cung cấp thay thế: 0 issuewild "letsencrypt.org".

Bước 5 — (Được khuyến nghị) Thêm địa chỉ thông báo. Để bạn được nói khi CA từ chối một nỗ lực — cảnh báo sớm rằng ai đó đã thử:

example.com.   CAA   0 iodef "mailto:[email protected]"

Bước 6 — Lưu và xác minh. Chạy dig CAA example.com (hoặc dùng bất kỳ công cụ tra cứu DNS trực tuyến nào) và xác nhận bản ghi của bạn xuất hiện. Thay đổi có thể mất từ vài phút đến vài giờ để lan rộng trên internet. Chứng chỉ hiện tại và tất cả gia hạn tiếp tục hoạt động — CAA chỉ kiểm soát cấp phát mới.

Ghi chú nền tảng nhanh: Trên Cloudflare, DNS → Records → Add record → loại CAA. Trên Google Workspace, bạn quản lý DNS tại registrar (hoặc Cloud DNS nếu bạn dùng) — thêm bản ghi CAA ở đó với pki.goog. Trên Microsoft 365, CAA không được đặt trong trung tâm admin M365; thêm nó bất cứ nơi nào DNS tên miền của bạn được host, liệt kê CA chứng chỉ được quản lý (thường là DigiCert). Trên host phổ biến (GoDaddy, Namecheap, và tương tự), đó là trong cùng bảng DNS nơi bản ghi A và MX của bạn sống.

Các lỗi phổ biến

Liệt kê CA sai — hoặc quên một cái. Rủi ro thực tế lớn nhất không phải bảo mật, mà là chặn các gia hạn của bạn. Nếu bạn dùng nhiều hơn một issuer (ví dụ một cho trang chính và một đằng sau Cloudflare), liệt kê tất cả. Khi không chắc, liệt kê một số bạn tin tưởng thay vì quá ít.
Đặt issue nhưng bỏ qua wildcard. Tên miền hạn chế chứng chỉ thông thường nhưng không nói gì về wildcard vẫn để đường wildcard mạnh hơn mở. Luôn đặt issuewild cũng — hoặc cho nhà cung cấp của bạn hoặc ";" để chặn nó.
Đặt CAA trên tên sai. CAA được đọc bởi cơ quan chứng chỉ cho tên chính xác đang được chứng nhận, đi lên cây. Đặt nó ở đỉnh tên miền (apex, ví dụ example.com) là đúng — nó bao gồm tên miền phụ theo mặc định trừ khi tên miền phụ đặt riêng.
Giả sử nền tảng đã làm điều đó. Cloudflare, Google và Microsoft quản lý chứng chỉ nhưng không thêm bản ghi CAA cho bạn. Trừ khi bạn đã thêm chúng, tên miền của bạn vẫn mở.
Coi nó là làm-một-lần-xong mà không theo dõi. Di chuyển DNS sau này, thay đổi registrar, hoặc “dọn dẹp” bản ghi có thể âm thầm xóa bảo vệ CAA. Đáng kiểm tra nó vẫn còn đó sau bất kỳ thay đổi DNS nào.

Cài đặt trên nhà cung cấp hosting của bạn

Từng bước cho các nhà cung cấp phổ biến:

FAQ

Tôi không rành kỹ thuật — tôi có thể tự xử lý điều này không?

Bạn không cần hiểu chi tiết, nhưng bản sửa là thay đổi nhỏ trong cài đặt DNS của tên miền, vì vậy tốt nhất là chuyển cho người quản lý website hoặc tên miền của bạn. Gửi phần 'Cách sửa' bên dưới cho họ — đó là thay đổi không tốn kém, năm phút. Chúng tôi chỉ tính phí nếu sau này bạn muốn chúng tôi tiếp tục theo dõi bản ghi vẫn còn; bản sửa luôn miễn phí.

Thêm điều này có làm hỏng website hoặc chứng chỉ của tôi không?

Không — miễn là bạn liệt kê nhà cung cấp chứng chỉ bạn thực sự dùng, mọi thứ vẫn hoạt động chính xác như trước. Bản ghi CAA không đụng đến hoặc thay thế chứng chỉ hiện có của bạn; nó chỉ kiểm soát ai được phép tạo cái mới. Cách duy nhất gây rắc rối là bỏ nhà cung cấp thật của bạn khỏi danh sách, điều này có thể chặn lần gia hạn tự động tiếp theo — các bước bên dưới được viết cụ thể để tránh điều đó.

Nếu chứng chỉ được cấp tự động ngày nay, tại sao tôi vẫn cần cái này?

Chứng chỉ tự động tốt và tiện lợi — vấn đề là hệ thống mở cho mọi người theo mặc định, kể cả ai đó giả vờ là bạn. Bản ghi CAA đơn giản đặt tên ai được phép, biến cửa mở thành cửa có ổ khóa của riêng bạn. Nó hoạt động cùng với cấp phát tự động, không phải chống lại nó.

Điều này có ảnh hưởng đến thứ hạng Google hoặc điểm của tôi trên báo cáo này không?

Nó ảnh hưởng đến điểm bảo mật của bạn ở đây — bản ghi CAA thiếu là mục có điểm, được đánh dấu là khoảng cách nghiêm trọng trung bình, vì nó để lại đường mạo danh thật mở. Nó không phải là yếu tố xếp hạng Google trực tiếp, nhưng việc mạo danh và phishing mà nó ngăn chặn chính xác là loại sự cố làm tổn hại niềm tin và lưu lượng. Dù sao cũng là chiến thắng nhanh, miễn phí.

Sự khác biệt giữa 'issue' và 'issuewild' là gì?

Bản ghi 'issue' kiểm soát chứng chỉ thông thường cho tên miền và tên miền phụ của bạn. Bản ghi 'issuewild' kiểm soát chứng chỉ wildcard — chứng chỉ đơn bao phủ mọi tên miền phụ có thể có cùng lúc (như *.example.com). Wildcard mạnh hơn và do đó rủi ro hơn trong tay sai, vì vậy là thực hành tốt để kiểm soát chúng riêng: nếu bạn không dùng wildcard, chặn chúng hoàn toàn.

Chúng tôi dùng Cloudflare / Google Workspace / Microsoft 365 — điều đó có tự bao gồm không?

Không tự động. Những nền tảng đó quản lý chứng chỉ cho bạn, nhưng trừ khi bạn đã thêm bản ghi CAA rõ ràng, tên miền của bạn vẫn nói với thế giới 'bất kỳ cơ quan nào cũng có thể cấp.' Tin tốt là bản sửa là cùng thay đổi DNS đơn giản trên tất cả, và nơi Cloudflare hoặc host của bạn cấp chứng chỉ, bạn chỉ cần liệt kê nhà cung cấp đó. Ghi chú nền tảng trong phần sửa bên dưới bao gồm các trường hợp phổ biến.