Kapag nag-a-apply para sa isang SSL/TLS certificate, maraming may-ari ng domain ang nagulat na ma-reject ang kanilang kahilingan. Kahit na mukhang tama ang kanilang DNS at ang certificate authority (CA) ay pinagkakatiwalaan.
Sa maraming mga kasong ito, ang isyu ay sanhi ng isang CAA record.
Ipinaliwanag ng artikulong ito ano ang CAA record, bakit ito umiiral, at paano ito direktang nakakaapekto sa pag-isyu ng SSL certificate, sa simpleng salitang Ingles para maiwasan mo ang mga karaniwang pagkakamali.
Bakit Nabibigo ang SSL Certificate Kahit Mukhang Tama ang Lahat?
Mga karaniwang tanong na naririnig namin mula sa mga may-ari ng domain ay:
-
"Patuloy na nabibigo ang aking SSL request, ano ang mali?"
-
"Sinasabi ng CA na hinaharang ng aking DNS ang pag-isyu, pero wala akong binago."
-
"Kailangan ba ang CAA record, o opsyonal lang?"
Narito ang pinakamahalagang punto na dapat maunawaan agad:
Kung ang iyong domain ay may CAA record na hindi awtorisadong gamitin ang certificate authority na ginagamit mo, hindi maaaring ma-isyu ang SSL certificate.
Ang ganitong pag-uugali ay hindi opsyonal. Ipinapatupad ito ng mga patakaran ng industriya.
Ano ang CAA Record?
Ang isang CAA (Certification Authority Authorization) record ay isang DNS record na nagsasaad kung aling mga certificate authority ang pinapayagan na magbigay ng SSL/TLS certificates para sa iyong domain.
Sa simpleng salita: Ang CAA record ay nagsisilbing whitelist para sa pag-isyu ng SSL certificate.
Tanging ang mga CA na tahasang nakalista sa iyong CAA record ang pinahihintulutang mag-isyu ng mga certificate para sa iyong domain.
Ano ang Nangyayari Kung Hindi Ka Mag-set ng CAA Record?
Ang kawalan ng CAA record ay hindi awtomatikong magpapahina sa seguridad ng iyong site.
Ngunit, kung walang CAA record:
-
Anumang pinagkakatiwalaang CA ay maaaring mag-isyu ng certificate para sa iyong domain
-
Nagpapataas ito ng panganib ng misissuance o di-awtorisadong mga certificate
-
Mas mababa ang iyong kontrol sa kung sino ang maaaring mag-isyu ng mga certificate sa iyong pangalan
Dahil sa mga panganib na ito, ang mga certificate authority ay kailangan nang suriin ang mga CAA record bago mag-isyu ng mga certificate.
Dito nagmumula ang karamihan sa kalituhan.
Ang Pinakapangkaraniwang Mga Senaryo ng Pagkabigo
-
Mayroong CAA record ngunit hindi kasama ang kasalukuyang CA
-
issueay nakalagay, ngunit angissuewilday nawawala para sa wildcard certificates -
Isang subdomain ang namamana ang isang mahigpit na CAA record mula sa parent domain
-
Ang may-ari ng domain ay nagpalit ng provider ng certificate pero nakalimutang i-update ang CAA
Bilang resulta, ang CA ay technically pinagbawalan na mag-isyu ng certificate.
Ang Tatlong Pangunahing Uri ng Mga CAA Tag
issue
Ina-awtorisa ang isang CA na mag-isyu ng standard na SSL certificates para sa ang domain.
issuewild
Ina-awtorisa ang isang CA na mag-isyu ng wildcard certificates (hal., .example.com).
iodef
Nagsasaad kung saan dapat ipadala ang mga ulat ng paglabag kung may di-awtorisadong certificate na na-isyu (opsyonal).
Kailan Dapat Gumamit ng CAA Record at Kailan Ito Opsyonal?
Lubos na Inirerekomenda
-
Mga website ng negosyo at korporasyon
-
Sistema ng e-commerce, pagbabayad, o pag-login
-
Mga domain na umaasa sa isang partikular na CA
Maaaring Opsyonal
-
Mga testing o staging environment
-
Mga pansamantala o eksperimentong proyekto
-
Mga site kung saan hindi kritikal ang kontrol sa pinagmulan ng certificate
Ang mahalaga ay hindi kung ang CAA ay "mandatory," kundi kung nauunawaan mo ang mga kahihinatnan.
Paano Mag-set ng CAA Records nang Ligtas (Nang Hindi Nilalabag ang SSL)
Bago magdagdag o magbago ng CAA record, tiyakin:
-
Kung aling CA ang kasalukuyang nag-iisyu ng iyong mga certificate
-
Kung gumagamit ka ng wildcard certificates
-
Kung maaari kang magpalit ng CA sa hinaharap
Ang maling pagkakaayos ng CAA record ay agad na haharang sa pag-isyu ng SSL certificate.
Bakit Umiiral ang Mga CAA Record
Inilunsad ang mga CAA record upang gawing:
-
Mas transparent
-
Mas kontrolado ng mga may-ari ng domain
-
Hindi madaling magkamali o magamit sa masamang paraan ang pag-isyu ng certificate
Dinisenyo sila upang mapataas ang seguridad, hindi upang palalimin ang komplikasyon sa pamamahala ng SSL.
Binibigyan ng mga CAA record ang mga may-ari ng domain ng kontrol kung sino ang maaaring mag-isyu ng mga SSL certificate para sa kanilang mga domain.
Kapag tama ang pagkaka-configure, pinapabuti nito ang seguridad.Kapag mali ang pagkaka-configure, ito ay isang karaniwang dahilan ng pagkabigo sa pag-isyu ng SSL.
Nakakatulong ang pag-unawa sa mga CAA record na maiwasan ang kalituhan, pagkaantala, at hindi kailangang mga kahilingan sa suporta.
Ang wastong pamamahala ng DNS at SSL ay nangangailangan ng parehong teknikal na kalinawan at pagsunod sa patakaran.
Bilang isang ICANN-accredited registrar, Nicenic ay sumusunod sa mga globally recognized na pamantayan upang tulungan ang mga may-ari ng domain na pamahalaan ang DNS, seguridad, at mga configuration na may kaugnayan sa certificate nang may tiwala.
Ang Nicenic ay nagsisilbing mapagkakatiwalaang kasosyo para sa mga brand, developer, entrepreneur, at negosyo sa buong mundo.
Susunod na Balita: Lahat ng Kailangan Mong Malaman Tungkol sa Domain Migrations at SEO
