Cài Đặt Nâng Cao
Đánh dấu các node phân giải ra giá trị này.
Global CAA Record Checker
Bản ghi CAA (Certification Authority Authorization) là một bản nâng cấp bảo mật quan trọng được giới thiệu trong RFC 6844 nhằm củng cố Hệ thống Khoá Công khai (Public Key Infrastructure - PKI). Một bản ghi CAA cho phép các domain admin xác định rõ ràng những Certificate Authority (Tổ chức phát hành chứng chỉ, như Let's Encrypt, DigiCert, hay Sectigo) nào được phép cấp chứng chỉ SSL/TLS cho hạ tầng của họ. Nó đóng vai trò như một tuyến phòng thủ vành đai (perimeter defense) chủ động chống lại các Certificate Authority lừa đảo hoặc đã bị xâm nhập, ngăn chúng tạo ra các chứng chỉ giả mạo nhưng lại được đánh dấu là trust cho các cuộc tấn công man-in-the-middle.
Bắt buộc kiểm tra trước khi cấp phát (Pre-Issuance Checks)
Kể từ năm 2017, CA/Browser Forum đã bắt buộc mọi CA thương mại phải thực hiện một DNS lookup đối với các bản ghi CAA trước khi cấp phát bất kỳ chứng chỉ nào. Khi một ACME client tự động hoặc một admin request tạo chứng chỉ, CA sẽ query zone đó. Nếu không tồn tại bản ghi CAA nào, CA ngầm định là đã được cấp quyền và tiến hành cấp chứng chỉ. Tuy nhiên, nếu có tồn tại bản ghi CAA và hostname của CA đang đưa ra request (ví dụ: letsencrypt.org) không được liệt kê rõ ràng trong Payload, quy trình cấp phát sẽ bị block ngay lập tức và hủy bỏ (abort) từ phía CA.
Quy tắc Tree-Climbing và phạm vi áp dụng
Một điểm mạnh của kiến trúc CAA là logic parsing theo quy tắc "tree-climbing" (leo cây). Nếu admin request tạo chứng chỉ cho một subdomain có cấu trúc sâu (ví dụ: api.staging.example.com), Certificate Authority sẽ query đích danh node đó để tìm bản ghi CAA. Nếu không tìm thấy, nó sẽ parse ngược lên trên, kiểm tra staging.example.com, và cuối cùng là đỉnh apex example.com. Điều này đồng nghĩa với việc chỉ một bản ghi CAA duy nhất được deploy ở root domain sẽ có tác dụng như một policy bảo mật bao trùm (blanket), tự động áp dụng (cascade) xuống và bảo vệ mọi subdomain bên dưới khỏi việc cấp phát trái phép.
Debug các lỗi Automated Renewal
Mặc dù bản ghi CAA giúp cải thiện đáng kể khả năng bảo mật, nhưng chúng lại là nguyên nhân hàng đầu gây ra các lỗi sập SSL thầm lặng, bất ngờ trong các pipeline DevOps hiện đại. Nếu một công ty chuyển từ việc dùng chứng chỉ Wildcard manual của DigiCert sang các chứng chỉ tự động gia hạn (automated renewals) của Let's Encrypt thông qua Kubernetes cert-manager, nhưng lại quên không cập nhật các bản ghi CAA mang tính hạn chế của họ, con bot gia hạn sẽ bị fail. CA sẽ trả về lỗi authorization, và hậu quả là chứng chỉ đang hoạt động sẽ bị hết hạn, kích hoạt hàng loạt cảnh báo trình duyệt cho mọi end-user. Ngoài ra, admin có thể cấu hình thẻ iodef bên trong CAA payload, chỉ thị cho CA phải gửi email cảnh báo tự động hoặc bắn webhook tới đội ngũ security mỗi khi có một nỗ lực cấp phát bị block xảy ra.