ทำความเข้าใจเกี่ยวกับความล้มเหลวในการตรวจสอบ CAA และวิธีแก้ไขปัญหา

ดูคู่มือทั้งหมด

ภาพรวมสินค้า

บันทึกการอนุญาตสิทธิ์ใบรับรอง (CAA) ช่วยให้เจ้าของโดเมนสามารถระบุได้ว่าผู้ให้บริการใบรับรอง (CA) รายใดสามารถออกใบรับรองได้ TLS ใบรับรองสำหรับโดเมนของพวกเขา  CAA กำหนดให้ CA ต้องตรวจสอบบันทึก CAA ของโดเมนก่อนออกใบรับรอง ในระหว่างกระบวนการตรวจสอบของ CAA CA จะต้องดำเนินการตามขั้นตอนต่อไปนี้ เนมเซิร์ฟเวอร์โดเมนที่มีอำนาจหากไม่มีบันทึก CAA อยู่ CA อาจดำเนินการต่อหากตรงตามเกณฑ์การตรวจสอบอื่นๆ อย่างไรก็ตาม หากมีบันทึก CAA อยู่ CA จะสามารถออกใบรับรองได้เฉพาะในกรณีที่ได้รับอนุญาตอย่างชัดเจนในบันทึกใดบันทึกหนึ่งเหล่านี้เท่านั้น  คู่มือนี้จะอธิบายข้อบกพร่องในการตรวจสอบ CAA ทั่วไป อธิบายสาเหตุที่เกิดขึ้น และให้ขั้นตอนปฏิบัติเพื่อแก้ไขปัญหา การกำหนดค่า CAA ที่ถูกต้องจะช่วยรักษาความปลอดภัยให้กับโดเมนของคุณและป้องกันการออกใบรับรองโดยไม่ได้รับอนุญาต

ความล้มเหลวในการตรวจสอบ CAA คืออะไร?

เมื่อการตรวจสอบ CAA ล้มเหลว แสดงว่ามีปัญหาเกี่ยวกับระเบียน CAA หรือการตั้งค่า DNS ที่เกี่ยวข้องสำหรับโดเมนของคุณ ซึ่งป้องกันไม่ให้ SSL.com ออกใบรับรองได้ ความล้มเหลวในการตรวจสอบ CAA แบ่งเป็น 3 ประเภทหลัก:
  • ปฏิเสธ:ความล้มเหลวที่เกี่ยวข้องกับบันทึก CAA ที่ชัดเจนซึ่งจำกัดการออกใบรับรอง
  • DNSSEC: ปัญหาที่เกิดจากการกำหนดค่าและการตอบสนอง DNSSEC
  • ความปลอดภัย:ความล้มเหลวเนื่องจากช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้น เช่น XSS

เรียนรู้เพิ่มเติมเกี่ยวกับใบรับรองที่เชื่อถือได้ของ SSL.com

สาเหตุของความล้มเหลวในการตรวจสอบ CAA

ปฏิเสธการทดสอบ

  1. แท็กปัญหาว่างเปล่า: empty.basic.domainname.com – ล้มเหลวหากบันทึก CAA เป็น 0 ออก “;” ซึ่งระบุว่าไม่มีการอนุญาต CA
  2. การปฏิเสธอย่างชัดเจน: จะเกิดขึ้นหากบันทึก CAA ไม่อนุญาตให้ออกสำหรับปัญหาหรือ issuewild อย่างชัดเจน หากมีบันทึก CAA จะต้องรวมถึงปัญหา "ssl.com" หรือ issuewild "ssl.com"
  3. ความไวต่อตัวพิมพ์ใหญ่และเล็กในแท็กปัญหา: แท็กปัญหาตัวพิมพ์ใหญ่ (uppercase-deny.basic.domainname.com) หรือตัวพิมพ์ผสม (mixedcase-deny.basic.domainname.com) ส่งผลให้เกิดความล้มเหลว
  4. ชุดบันทึกขนาดใหญ่: big.basic.domainname.com – ล้มเหลวหากมีบันทึก CAA มากเกินไป (เช่น 1001)
  5. คุณสมบัติที่สำคัญที่ไม่รู้จัก: critical1.basic.domainname.com และ critical2.basic.domainname.com – จะล้มเหลวหากมีคุณสมบัติที่ไม่รู้จักซึ่งถูกทำเครื่องหมายว่าสำคัญ
  6. การปีนต้นไม้: ล้มเหลวเมื่อบันทึก CAA ในระดับหลัก (sub1.deny.basic.domainname.com) หรือระดับปู่ย่าตายาย (sub2.sub1.deny.basic.domainname.com) จำกัดการออก
  7. โซ่ CNAME: จะล้มเหลวหากมีข้อจำกัด CAA อยู่ที่เป้าหมาย CNAME ในห่วงโซ่ของ CNAME เช่น cname-deny.basic.domainname.com, cname-cname-deny.basic.domainname.com และ sub1.cname-deny.basic.domainname.com พฤติกรรมปัจจุบันสำหรับระเบียน CAA ที่มี CNAME คือหากคุณขอใบรับรองสำหรับ  a.โดเมน.com และมันเป็นบันทึก CNAME สำหรับ sub.sub.anotherdomain.com จากนั้นการตรวจสอบ CAA จะตรวจสอบจนถึงรูทโดเมนของ อนาเธอร์โดเมน.คอม สำหรับบันทึก CAA
  8. ปฏิเสธการอนุญาตจากผู้ปกครอง: deny.permit.basic.domainname.com – ล้มเหลว หากมีการจำกัดโดเมนย่อยแม้ว่าผู้ปกครองจะอนุญาตให้ออกก็ตาม
  9. เซิร์ฟเวอร์ IPv6 เท่านั้น: ipv6only.domainname.com – ล้มเหลว ถ้าสามารถเข้าถึงบันทึก CAA ได้ผ่าน IPv6 เท่านั้น และ CA ไม่สามารถประมวลผลได้

ความล้มเหลวของ DNSSEC

  1. ลายเซ็น DNSSEC ที่หมดอายุ: expired.domainname-dnssec.com – จะล้มเหลวหากลายเซ็น DNSSEC หมดอายุ
  2. ขาดลายเซ็น DNSSEC: missing.domainname-dnssec.com – ล้มเหลวถ้าไม่มีลายเซ็น DNSSEC
  3. เซิร์ฟเวอร์ DNS ไม่ตอบสนอง: blackhole.domainname-dnssec.com – ล้มเหลวหากโซ่การตรวจสอบ DNSSEC ส่งผลให้เซิร์ฟเวอร์ไม่ตอบสนอง
  4. การตอบสนอง SERVFAIL: servfail.domainname-dnssec.com – ล้มเหลวถ้าเซิร์ฟเวอร์ DNS ตอบสนองด้วย SERVFAIL
  5. ปฏิเสธการตอบสนอง: denied.domainname-dnssec.com – ล้มเหลวถ้าเซิร์ฟเวอร์ DNS ตอบสนองด้วยปฏิเสธ

การตรวจสอบความปลอดภัย

  1. ช่องโหว่ XSS: xss.domainname.com – จะล้มเหลว หากคุณสมบัติของปัญหาประกอบด้วย HTML หรือ JavaScript ทดสอบกับช่องโหว่ XSS

แบบทดสอบพิเศษและแบบข้อมูล

การทดสอบเหล่านี้มีความเกี่ยวข้องในสถานการณ์เฉพาะ เช่น การตรวจสอบ SAN (ชื่อทางเลือกของเรื่อง) อัตโนมัติ หรือสถานการณ์นามแฝง DNS บางกรณี ชุดนี้จะช่วยให้แน่ใจว่า CA เป็นไปตามข้อกำหนดพื้นฐาน โดยเฉพาะในการไม่ออกใบรับรองที่มีข้อจำกัดของ CAA

วิธีแก้ไขปัญหาการตรวจสอบ CAA ล้มเหลว

ใช้ขั้นตอนและเครื่องมือเหล่านี้เพื่อช่วยแก้ไขความล้มเหลวในการตรวจสอบ CAA:
  1. ตรวจสอบบันทึก CAA:ยืนยันว่าบันทึก CAA ของคุณอนุญาตให้ Certificate Authority เป็นผู้ออกใบรับรองอย่างชัดเจน:  
    1. ปัญหา “ssl.com” สำหรับโดเมน 
    2. issuewild “ssl.com” สำหรับใบรับรองไวด์การ์ด
  2. ใช้คำสั่งขุด:นี่คือเครื่องมือเครือข่ายอเนกประสงค์ที่ใช้โต้ตอบกับเซิร์ฟเวอร์ชื่อ DNS ดำเนินการสอบถาม DNS และแสดงการตอบสนองจากเซิร์ฟเวอร์ที่สอบถาม ทำให้เป็นเครื่องมือที่มีค่าอย่างยิ่งสำหรับการวินิจฉัยและแก้ไขปัญหาที่เกี่ยวข้องกับ DNS ตัวอย่างเช่น: dig @1.1.1.1 domain.com CAA ควรแสดง สถานะ:ไม่มีข้อผิดพลาด
    1. การใช้คำสั่ง dig สำหรับโดเมนย่อย: เพื่อแก้ไขความล้มเหลวในการตรวจสอบ CAA สำหรับโดเมนย่อย เช่น sub2.sub1.example.com โดยใช้ ขุด คำสั่ง ให้แน่ใจว่าดังต่อไปนี้: ขุด คำสั่ง CAA ต้องส่งคืน โดเมน NX or ไม่มีข้อผิดพลาด หากไม่มีระเบียน CAA อยู่ ให้ตรวจสอบสำหรับแต่ละระดับของลำดับชั้นโดเมน โดยเริ่มจากชื่อโดเมนแบบเต็ม (FQDN) sub2.sub1.example.com จากนั้นจึงเลื่อนขึ้นไปยัง sub1.example.com และสุดท้ายที่โดเมนระดับบนสุด example.com กระบวนการตรวจสอบจะดำเนินต่อไปจนถึงโดเมนระดับบนสุดจนกว่าจะพบระเบียน CAA
      หมายเหตุ: พฤติกรรมปัจจุบันสำหรับบันทึก CAA ที่มี CNAME คือหากคุณร้องขอใบรับรองสำหรับ  a.โดเมน.com และมันเป็นบันทึก CNAME สำหรับ sub.sub.anotherdomain.com จากนั้นการตรวจสอบ CAA จะตรวจสอบจนถึงรูทโดเมนของ อนาเธอร์โดเมน.คอม สำหรับบันทึก CAA
  3. ใช้ของ Oracle เครื่องมือเดลฟ: เดลฟ์ ได้รับการออกแบบมาเพื่อแก้ไขปัญหาการสอบถาม DNS และตรวจสอบการตอบสนองโดยใช้ DNSSEC โดยเลียนแบบพฤติกรรมของเซิร์ฟเวอร์ DNS ที่กำหนดค่าไว้สำหรับการตรวจสอบและการส่งต่อ โดยจะส่งการสอบถามไปยังเซิร์ฟเวอร์ที่ระบุ รวมถึงเซิร์ฟเวอร์สำหรับระเบียน DNSKEY และ DS เพื่อสร้างห่วงโซ่ความน่าเชื่อถือโดยไม่ต้องดำเนินการแก้ไขแบบวนซ้ำ เครื่องมือนี้มีตัวเลือกการสอบถามต่างๆ เช่น การดึงตัวแก้ไขการบันทึก (+[no]rtrace), รายละเอียดการตอบกลับ (+[no]mtrace) และกระบวนการตรวจสอบ (+[no]vtrace).
  4. ตรวจสอบการตั้งค่า DNSSEC: เครื่องมือเช่น DNSViz or เครื่องวิเคราะห์ DNSSEC ของ Verisign สามารถช่วยตรวจสอบการตั้งค่า DNSSEC ของคุณได้
  5. ปรึกษาผู้ให้บริการ DNS ของคุณ:สำหรับความล้มเหลวที่เกี่ยวข้องกับ DNSSEC ผู้ให้บริการ DNS ของคุณสามารถช่วยแก้ไขลายเซ็น DNSSEC หรือปัญหาการกำหนดค่าได้

ข้อมูลอ้างอิงเพิ่มเติม 

หากต้องการดูสถานการณ์เหล่านี้ด้วยตนเอง โปรดไปที่ https://caatestsuite.com/.    

คู่มือ SSL.com ที่เกี่ยวข้อง

ต้องการกำหนดค่า CAA เพื่ออนุญาต SSL.com ให้ออกใบรับรองสำหรับโดเมนของคุณหรือไม่ จากนั้นได้โปรด ตรวจสอบบทความนี้.
X
Facebook
LinkedIn
Reddit
อีเมล

ทีมสนับสนุน SSL

โพสต์ทั้งหมด»

รับทราบข้อมูลและปลอดภัย

SSL.com เป็นผู้นำระดับโลกในด้านความปลอดภัยทางไซเบอร์ PKI และใบรับรองดิจิทัล ลงทะเบียนเพื่อรับข่าวสารอุตสาหกรรม เคล็ดลับ และประกาศผลิตภัณฑ์ล่าสุดจาก SSL.com.

เราชอบความคิดเห็นของคุณ

ทำแบบสำรวจของเราและแจ้งให้เราทราบความคิดเห็นของคุณเกี่ยวกับการซื้อครั้งล่าสุดของคุณ

ทำการสำรวจ