Defaults.Exposed › Cài đặt › CAA

Cách thiết lập bản ghi CAA trên Cloudflare

Thêm bản ghi CAA trong Cloudflare để kiểm soát tổ chức cấp chứng chỉ nào được phép cấp chứng chỉ SSL cho tên miền của bạn.

Tại sao điều này quan trọng với doanh nghiệp của bạn

Bản ghi CAA chỉ định tổ chức cấp chứng chỉ (certificate authority — công ty cấp chứng chỉ SSL/TLS tạo ra ổ khóa trong trình duyệt) nào được phép cấp chứng chỉ cho tên miền của bạn. Bất kỳ tổ chức nào tuân thủ quy tắc đều phải kiểm tra bản ghi này trước và từ chối yêu cầu nếu không có trong danh sách.

Nói đơn giản: nếu không có bản ghi CAA, bất kỳ tổ chức nào trong số hàng trăm tổ chức cấp chứng chỉ trên toàn cầu đều có thể bị lừa hoặc nhầm lẫn mà cấp chứng chỉ hợp lệ cho tên miền của bạn — kẻ tấn công có thể dùng đó để mạo danh website của bạn một cách thuyết phục. Bản ghi CAA đóng cửa đó lại bằng cách tuyên bố chỉ những tổ chức này, không ai khác. Miễn phí và chỉ mất vài phút.

Xác nhận Cloudflare đang quản lý DNS của bạn

Điều này chỉ hoạt động nếu Cloudflare đang trả lời các truy vấn DNS cho tên miền của bạn. Cloudflare là nhà cung cấp DNS của bạn, và DNS của Cloudflare chỉ hoạt động khi nameservers của tên miền trỏ vào các nameservers Cloudflare hiển thị trong dashboard. Mở tên miền trong Cloudflare và kiểm tra trang Overview để xác nhận Cloudflare đang hoạt động. Nếu nameservers trỏ đến nơi khác, hãy thêm bản ghi CAA tại nhà cung cấp DNS đang quản lý tên miền của bạn.

Tìm hiểu tổ chức cấp chứng chỉ của bạn trước

Trước khi thêm bất cứ thứ gì, hãy tìm hiểu tổ chức nào đang cấp chứng chỉ của bạn, nếu không bạn có nguy cơ khóa chặn nhà cung cấp của chính mình. Các giá trị phổ biến:

• letsencrypt.org — Let’s Encrypt (dùng cho hầu hết chứng chỉ miễn phí và tự động)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Lưu ý về Cloudflare: nếu bạn dùng SSL của chính Cloudflare (thiết lập proxy cloud cam), Cloudflare cấp chứng chỉ thông qua nhiều tổ chức thay mặt bạn — vì vậy hãy đảm bảo bản ghi CAA bạn thêm vẫn cho phép những tổ chức đó, hoặc để Cloudflare tự quản lý CAA. Nếu không chắc, hãy hỏi người đã thiết lập hosting, hoặc kiểm tra chứng chỉ trong trình duyệt (nhấp vào ổ khóa, sau đó xem thông tin issuer).

Hướng dẫn từng bước trên Cloudflare

1. Đăng nhập vào Cloudflare và chọn tên miền của bạn.
2. Trong menu bên trái, vào cài đặt DNS (tìm DNS / Records).
3. Nhấp Add record.
4. Đặt Type thành CAA.
5. Trong trường Name, nhập: @ Ký tự @ có nghĩa là root của tên miền. Cloudflare tự động thêm tên miền vào, vì vậy không nhập tên miền sau đó.
6. Cloudflare hiển thị các trường CAA dưới dạng menu thân thiện. Đặt như sau:
   • Flags: 0
   • Tag: chọn Only allow specific hostnames (đây là tag issue)
   • CA domain name (giá trị): letsencrypt.org
7. Để TTL ở mức Auto.
8. Nhấp Save.

Cho phép nhiều tổ chức cấp chứng chỉ

Hầu hết tên miền sử dụng nhiều tổ chức theo thời gian — ví dụ chứng chỉ miễn phí hôm nay và chứng chỉ trả phí sau này, hoặc một tổ chức khác cho dịch vụ riêng biệt. Để cho phép nhiều tổ chức, hãy thêm một bản ghi CAA riêng cho mỗi tổ chức. Tất cả đều dùng cùng name @, flags 0, và tag issue — chỉ giá trị CA domain thay đổi:

• một bản ghi với giá trị letsencrypt.org
• một bản ghi với giá trị digicert.com

Cùng nhau, chúng tuyên bố cả hai tổ chức này đều được phép, không ai khác. Bạn không gộp chúng vào một bản ghi duy nhất.

Những lỗi phổ biến với Cloudflare

• Lỗi lớn nhất là khóa chặn tổ chức của chính bạn. Nếu bạn thêm bản ghi CAA chỉ liệt kê digicert.com nhưng chứng chỉ của bạn thực ra gia hạn qua Let’s Encrypt, lần gia hạn tiếp theo sẽ âm thầm thất bại và ổ khóa của bạn có thể hỏng vài tuần sau đó. Luôn bao gồm mọi tổ chức bạn thực sự dùng trước khi lưu.
• Chú ý SSL của Cloudflare. Nếu lưu lượng truy cập chạy qua Cloudflare (cloud cam), Cloudflare cần có khả năng lấy chứng chỉ edge. Thêm bản ghi CAA loại trừ các tổ chức mà Cloudflare dùng có thể làm hỏng điều đó — khi nghi ngờ, hãy cho phép Let’s Encrypt và Google Trust Services (pki.goog) cùng với tổ chức của bạn, hoặc để Cloudflare quản lý CAA.
• Name là @, không phải tên miền. Dùng @ cho root; Cloudflare tự thêm tên miền.
• Cách đặt tên tag khác nhau. Cloudflare gọi tag issue là Only allow specific hostnames trong menu. Đây là lựa chọn đúng cho mục đích thông thường.
• Flags là 0 cho bản ghi thông thường. Giá trị 128 là chế độ nghiêm ngặt — chỉ dùng có chủ đích.
• Dùng tên miền đơn thuần, không phải URL. Giá trị là letsencrypt.org, không bao giờ là https://letsencrypt.org và không có www..
• Không có proxy trên bản ghi CAA. CAA là bản ghi DNS thuần — không có biểu tượng cloud cam/xám ở đây.
• Chờ một chút. Thay đổi DNS có thể mất vài phút đến vài giờ để có hiệu lực. Chứng chỉ hiện tại vẫn hoạt động; CAA chỉ được kiểm tra khi cấp hoặc gia hạn chứng chỉ mới.

Xác minh thiết lập

Sau khi lưu và lan truyền, hãy chạy kiểm tra miễn phí trên trang web này. Kết quả sẽ cho bạn biết bằng ngôn ngữ đơn giản liệu bản ghi CAA đã có mặt và những tổ chức nào bạn đã cho phép.

Đã xong? Kiểm tra tên miền miễn phí để xác nhận đã hoạt động — và xem điểm đầy đủ của bạn trên cả 34 hạng mục kiểm tra.