ℹ️ CAA RECORDS LÀ GÌ VÀ TẠI SAO CẦN THIẾT LẬP?
CAA (Certification Authority Authorization) là bản ghi DNS cho phép bạn CHỈ ĐỊNH CỤ THỂ nhà cấp phát SSL (CA) nào được phép cấp certificate cho domain của bạn.
- Trước khi cấp SSL, CA sẽ kiểm tra CAA records của domain
- Nếu domain có CAA records → CA chỉ cấp certificate khi tên CA của họ nằm trong danh sách cho phép
- Nếu CA không có trong danh sách → TỪ CHỐI cấp certificate
- Nếu không có CAA records → CA có thể cấp certificate (chế độ mặc định)
- Ngăn chặn certificate giả mạo: Hacker không thể xin SSL từ CA khác
- Kiểm soát tập trung: Bạn quyết định CA nào được cấp cert
- Thông báo vi phạm: Nhận email khi có CA cố cấp cert trái phép
- Tuân thủ bảo mật: Nhiều tổ chức yêu cầu phải có CAA
❓ Câu hỏi thường gặp về CAA
CAA records không bắt buộc để có SSL certificate. Tuy nhiên:
- Domain quan trọng (production)
- Muốn tăng cường bảo mật
- Tuân thủ policy công ty
- Có nhiều subdomain
- Domain test/dev
- Ít quan tâm bảo mật
- Chỉ dùng 1 CA duy nhất
- Personal blog nhỏ
CAA chỉ kiểm tra khi CẤP MỚI hoặc GIA HẠN certificate.
3 cách kiểm tra CA đang cấp SSL:
Browser
Click ổ khóa → Xem certificate → "Issued by"
Command Line
dig domain.com CAA
- Let's Encrypt - Miễn phí, tự động
- Sectigo - Phổ biến, giá rẻ
- DigiCert - Enterprise, EV SSL
IODEF là email hoặc URL để CA gửi thông báo khi:
- Có người cố xin SSL từ CA không trong CAA
- CA từ chối cấp certificate vì vi phạm CAA
- Phát hiện hoạt động đáng ngờ
security@example.commailto:admin@example.comhttps://example.com/report
example.com/report(thiếu https://)+84123456789(không hỗ trợ phone)admin(không đầy đủ)
📝 Các loại CAA Records
🔐 issue
CA được phép cấp standard SSL cho domain chính và subdomain
🌐 issuewild
CA được phép cấp wildcard SSL (*.example.com)
📧 iodef
Email/URL nhận thông báo khi có vi phạm