Defaults.Exposed › Cài đặt › CAA

Cách thiết lập bản ghi CAA trên AWS Route 53

Thêm bản ghi CAA trong AWS Route 53 để kiểm soát tổ chức cấp chứng chỉ nào được phép cấp chứng chỉ SSL cho tên miền của bạn.

Tại sao điều này quan trọng với doanh nghiệp của bạn

Bản ghi CAA chỉ định tổ chức cấp chứng chỉ (certificate authority — công ty cấp chứng chỉ SSL/TLS tạo ra ổ khóa trong trình duyệt) nào được phép cấp chứng chỉ cho tên miền của bạn. Bất kỳ tổ chức nào tuân thủ quy tắc đều phải kiểm tra bản ghi này trước và từ chối yêu cầu nếu không có trong danh sách.

Nói đơn giản: nếu không có bản ghi CAA, bất kỳ tổ chức nào trong số hàng trăm tổ chức cấp chứng chỉ trên toàn cầu đều có thể bị lừa hoặc nhầm lẫn mà cấp chứng chỉ hợp lệ cho tên miền của bạn — kẻ tấn công có thể dùng đó để mạo danh website của bạn một cách thuyết phục. Bản ghi CAA đóng cửa đó lại bằng cách tuyên bố chỉ những tổ chức này, không ai khác. Miễn phí và chỉ mất vài phút.

Xác nhận Route 53 đang quản lý DNS của bạn

Điều này chỉ hoạt động nếu Route 53 đang trả lời các truy vấn DNS cho tên miền của bạn. Trong Route 53, bản ghi của bạn nằm trong một hosted zone cho tên miền, và zone đó chỉ hoạt động khi nameservers của tên miền trỏ vào bốn nameservers Route 53 được liệt kê trong zone. Mở hosted zone, kiểm tra bản ghi NS của nó, và xác nhận những nameservers đó được đặt tại nhà đăng ký của bạn. Nếu nameservers trỏ đến nơi khác, hãy thêm bản ghi CAA tại nhà cung cấp DNS đang quản lý tên miền của bạn.

Tìm hiểu tổ chức cấp chứng chỉ của bạn trước

Trước khi thêm bất cứ thứ gì, hãy tìm hiểu tổ chức nào đang cấp chứng chỉ của bạn, nếu không bạn có nguy cơ khóa chặn nhà cung cấp của chính mình. Các giá trị phổ biến:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (dùng cho hầu hết chứng chỉ miễn phí và tự động)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Nếu bạn dùng AWS Certificate Manager để cấp chứng chỉ, bạn phải cho phép amazon.com nếu không ACM sẽ không thể cấp. Nếu không chắc, hãy hỏi người đã thiết lập hosting, hoặc kiểm tra chứng chỉ trong trình duyệt (nhấp vào ổ khóa, sau đó xem thông tin issuer).

Hướng dẫn từng bước trên Route 53

1. Đăng nhập vào AWS Management Console và mở Route 53.
2. Trong menu bên trái, chọn Hosted zones, sau đó chọn tên miền của bạn.
3. Nhấp Create record.
4. Để trống trường Record name để áp dụng bản ghi cho root của tên miền (apex). Không nhập tên miền vào đây.
5. Đặt Record type thành CAA.
6. Trong hộp Value, nhập bản ghi theo định dạng ba phần của Route 53 trên một dòng: 0 issue "letsencrypt.org" Đó là flags (0), sau đó là tag (issue), rồi tổ chức cấp chứng chỉ trong dấu ngoặc kép.
7. Để TTL theo mặc định (300 giây là ổn).
8. Chọn Simple routing nếu được hỏi, sau đó nhấp Create records.

Cho phép nhiều tổ chức cấp chứng chỉ

Hầu hết tên miền sử dụng nhiều tổ chức theo thời gian — ví dụ AWS Certificate Manager cho một dịch vụ và Let’s Encrypt cho dịch vụ khác. Trong Route 53, bạn thêm các tổ chức bổ sung dưới dạng các dòng bổ sung trong hộp Value của cùng bản ghi CAA, mỗi tổ chức một dòng:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Cùng nhau, chúng tuyên bố cả hai tổ chức này đều được phép, không ai khác. Mỗi dòng là một mục issue riêng biệt; bạn không đặt hai tổ chức trên cùng một dòng.

Những lỗi phổ biến với Route 53

• Lỗi lớn nhất là khóa chặn tổ chức của chính bạn. Nếu bạn thêm bản ghi CAA chỉ liệt kê digicert.com nhưng chứng chỉ của bạn thực ra gia hạn qua Let’s Encrypt hoặc ACM, lần gia hạn tiếp theo sẽ âm thầm thất bại và ổ khóa của bạn có thể hỏng vài tuần sau đó. Luôn bao gồm mọi tổ chức bạn thực sự dùng trước khi lưu.
• Cho phép amazon.com cho ACM. Nếu chứng chỉ của bạn đến từ AWS Certificate Manager và bản ghi CAA không bao gồm amazon.com, việc xác thực và gia hạn ACM sẽ thất bại. Đây là lỗi phổ biến nhất riêng với Route 53.
• Dấu ngoặc kép quanh CA là bắt buộc. Route 53 yêu cầu 0 issue "letsencrypt.org" với tổ chức trong dấu ngoặc kép. Bỏ dấu ngoặc sẽ làm bản ghi không hợp lệ.
• Để trống tên bản ghi cho root. Tên trống áp dụng bản ghi tại apex; nhập tên miền vào đó sẽ tạo bản ghi sai vị trí.
• Flags là 0 cho bản ghi thông thường. Giá trị 128 là chế độ nghiêm ngặt — chỉ dùng có chủ đích.
• Dùng tên miền đơn thuần, không phải URL. Giá trị là letsencrypt.org, không bao giờ là https://letsencrypt.org và không có www..
• Chờ một chút. Thay đổi DNS có thể mất vài phút đến vài giờ để có hiệu lực. Chứng chỉ hiện tại vẫn hoạt động; CAA chỉ được kiểm tra khi cấp hoặc gia hạn chứng chỉ mới.

Xác minh thiết lập

Sau khi lưu và lan truyền, hãy chạy kiểm tra miễn phí trên trang web này. Kết quả sẽ cho bạn biết bằng ngôn ngữ đơn giản liệu bản ghi CAA đã có mặt và những tổ chức nào bạn đã cho phép.

Đã xong? Kiểm tra tên miền miễn phí để xác nhận đã hoạt động — và xem điểm đầy đủ của bạn trên cả 34 hạng mục kiểm tra.