Defaults.Exposed › Cài đặt › CAA

Cách thiết lập bản ghi CAA trên Namecheap

Thêm bản ghi CAA trong Namecheap để kiểm soát tổ chức cấp chứng chỉ nào được phép cấp chứng chỉ SSL cho tên miền của bạn.

Tại sao điều này quan trọng với doanh nghiệp của bạn

Bản ghi CAA chỉ định tổ chức cấp chứng chỉ (certificate authority — công ty cấp chứng chỉ SSL/TLS tạo ra ổ khóa trong trình duyệt) nào được phép cấp chứng chỉ cho tên miền của bạn. Bất kỳ tổ chức nào tuân thủ quy tắc đều phải kiểm tra bản ghi này trước và từ chối yêu cầu nếu không có trong danh sách.

Nói đơn giản: nếu không có bản ghi CAA, bất kỳ tổ chức nào trong số hàng trăm tổ chức cấp chứng chỉ trên toàn cầu đều có thể bị lừa hoặc nhầm lẫn mà cấp chứng chỉ hợp lệ cho tên miền của bạn — kẻ tấn công có thể dùng đó để mạo danh website của bạn một cách thuyết phục. Bản ghi CAA đóng cửa đó lại bằng cách tuyên bố chỉ những tổ chức này, không ai khác. Miễn phí và chỉ mất vài phút.

Xác nhận Namecheap đang quản lý DNS của bạn

Điều này chỉ hoạt động nếu Namecheap đang trả lời các truy vấn DNS cho tên miền của bạn. Các bản ghi bên dưới được đặt trong Advanced DNS, chỉ có hiệu lực khi tên miền dùng Namecheap BasicDNS (hoặc PremiumDNS). Đăng nhập, mở Domain List, nhấp Manage trên tên miền và xác nhận nameservers được đặt là của Namecheap. Nếu nameservers trỏ đến nơi khác, hãy thêm bản ghi CAA tại nhà cung cấp DNS đang quản lý tên miền của bạn.

Tìm hiểu tổ chức cấp chứng chỉ của bạn trước

Trước khi thêm bất cứ thứ gì, hãy tìm hiểu tổ chức nào đang cấp chứng chỉ của bạn, nếu không bạn có nguy cơ khóa chặn nhà cung cấp của chính mình. Các giá trị phổ biến:

• letsencrypt.org — Let’s Encrypt (dùng cho hầu hết chứng chỉ miễn phí và tự động)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Nếu không chắc, hãy hỏi người đã thiết lập hosting của bạn, hoặc kiểm tra chứng chỉ trong trình duyệt (nhấp vào ổ khóa, sau đó xem thông tin issuer của chứng chỉ).

Hướng dẫn từng bước trên Namecheap

1. Đăng nhập vào Namecheap và mở Domain List.
2. Nhấp Manage bên cạnh tên miền của bạn.
3. Mở tab Advanced DNS.
4. Trong Host Records, nhấp Add New Record.
5. Đặt Type của bản ghi thành CAA Record.
6. Trong trường Host, nhập: @ Ký tự @ có nghĩa là root của tên miền. Không nhập tên miền vào đây.
7. Trong trường Flag, nhập: 0
8. Trong trường Tag, chọn: issue
9. Trong trường Value (CA domain), nhập định danh của tổ chức cấp chứng chỉ, ví dụ: letsencrypt.org
10. Để TTL ở mức Automatic.
11. Nhấp dấu tích màu xanh để lưu, sau đó Save All Changes nếu được nhắc.

Cho phép nhiều tổ chức cấp chứng chỉ

Hầu hết tên miền sử dụng nhiều tổ chức theo thời gian — ví dụ chứng chỉ miễn phí hôm nay và chứng chỉ trả phí sau này, hoặc một tổ chức khác cho dịch vụ riêng biệt. Để cho phép nhiều tổ chức, hãy thêm một bản ghi CAA riêng cho mỗi tổ chức. Tất cả đều dùng cùng host @, flag 0, và tag issue — chỉ giá trị thay đổi:

• một bản ghi với giá trị letsencrypt.org
• một bản ghi với giá trị digicert.com

Cùng nhau, chúng tuyên bố cả hai tổ chức này đều được phép, không ai khác. Bạn không gộp chúng vào một bản ghi duy nhất.

Những lỗi phổ biến với Namecheap

• Lỗi lớn nhất là khóa chặn tổ chức của chính bạn. Nếu bạn thêm bản ghi CAA chỉ liệt kê digicert.com nhưng chứng chỉ của bạn thực ra gia hạn qua Let’s Encrypt, lần gia hạn tiếp theo sẽ âm thầm thất bại và ổ khóa của bạn có thể hỏng vài tuần sau đó. Luôn bao gồm mọi tổ chức bạn thực sự dùng trước khi lưu.
• Host là @, không phải tên miền. Nhập tên miền đầy đủ vào trường Host sẽ tạo bản ghi sai vị trí. Dùng @ cho root.
• Flag là 0 cho bản ghi thông thường. Giá trị 128 là chế độ nghiêm ngặt — chỉ dùng có chủ đích. Cho mục đích thông thường, dùng 0.
• Dùng tên miền đơn thuần, không phải URL. Giá trị là letsencrypt.org, không bao giờ là https://letsencrypt.org và không có www..
• Chọn loại CAA, không phải TXT. Namecheap có loại CAA Record riêng — dùng loại đó thay vì cố gắng nhập thủ công CAA vào bản ghi TXT.
• Chờ một chút. Thay đổi DNS có thể mất vài phút đến vài giờ để có hiệu lực. Chứng chỉ hiện tại vẫn hoạt động; CAA chỉ được kiểm tra khi cấp hoặc gia hạn chứng chỉ mới.

Xác minh thiết lập

Sau khi lưu và lan truyền, hãy chạy kiểm tra miễn phí trên trang web này. Kết quả sẽ cho bạn biết bằng ngôn ngữ đơn giản liệu bản ghi CAA đã có mặt và những tổ chức nào bạn đã cho phép.

Đã xong? Kiểm tra tên miền miễn phí để xác nhận đã hoạt động — và xem điểm đầy đủ của bạn trên cả 34 hạng mục kiểm tra.