Hiểu về lỗi kiểm tra CAA và cách giải quyết

Xem tất cả hướng dẫn

Giới thiệu chung

Bản ghi Ủy quyền của Cơ quan cấp chứng chỉ (CAA) cho phép chủ sở hữu tên miền chỉ định Cơ quan cấp chứng chỉ (CA) nào có thể cấp TLS chứng chỉ cho tên miền của họ.  CAA yêu cầu CA phải xem xét hồ sơ CAA của tên miền trước khi cấp chứng chỉ. Trong quá trình kiểm tra CAA, CA phải đạt được máy chủ tên miền có thẩm quyền. Nếu không có hồ sơ CAA, CA có thể tiến hành nếu đáp ứng các tiêu chí xác minh khác. Tuy nhiên, nếu có hồ sơ CAA, CA chỉ có thể cấp chứng chỉ nếu được ủy quyền rõ ràng trong một trong những hồ sơ này.  Hướng dẫn này phác thảo các lỗi kiểm tra CAA phổ biến, giải thích lý do tại sao chúng xảy ra và cung cấp các bước có thể thực hiện được để giải quyết chúng. Đảm bảo cấu hình CAA phù hợp giúp bảo mật tên miền của bạn và bảo vệ chống lại việc cấp chứng chỉ trái phép.

Kiểm tra CAA không đạt là gì?

Khi kiểm tra CAA không thành công, điều đó có nghĩa là có vấn đề với bản ghi CAA hoặc cài đặt DNS liên quan cho tên miền của bạn khiến SSL.com không thể cấp chứng chỉ. Có ba loại lỗi kiểm tra CAA chính:
  • Bị từ chối: Lỗi liên quan đến hồ sơ CAA rõ ràng hạn chế việc cấp chứng chỉ.
  • DNSSEC: Các vấn đề phát sinh từ cấu hình và phản hồi DNSSEC.
  • Bảo mật : Lỗi do lỗ hổng bảo mật tiềm ẩn, chẳng hạn như XSS.

Tìm hiểu thêm về Chứng chỉ đáng tin cậy của SSL.com

Lý do kiểm tra CAA không thành công

Từ chối thử nghiệm

  1. Thẻ vấn đề trống: empty.basic.domainname.com – Không thành công nếu bản ghi CAA là 0, dấu “;”, cho biết không có CA nào được phép.
  2. Phủ nhận rõ ràng: Xảy ra nếu bản ghi CAA rõ ràng không cho phép phát hành cho issue hoặc issuewild. Nếu có bản ghi CAA, nó phải bao gồm issue “ssl.com” hoặc issuewild “ssl.com”.
  3. Phân biệt chữ hoa chữ thường trong thẻ vấn đề: Thẻ sự cố viết hoa (uppercase-deny.basic.domainname.com) hoặc viết hoa cả chữ thường và chữ thường (mixedcase-deny.basic.domainname.com) sẽ dẫn đến lỗi.
  4. Bộ hồ sơ lớn: big.basic.domainname.com – Không thành công nếu có quá nhiều bản ghi CAA (ví dụ: 1001).
  5. Thuộc tính quan trọng chưa biết: critical1.basic.domainname.com và critical2.basic.domainname.com – Không thành công nếu có các thuộc tính không được nhận dạng được đánh dấu là quan trọng.
  6. Leo cây: Không thành công khi bản ghi CAA ở cấp độ cha (sub1.deny.basic.domainname.com) hoặc cấp độ ông bà (sub2.sub1.deny.basic.domainname.com) hạn chế việc phát hành.
  7. Chuỗi CNAME: Thất bại nếu các hạn chế CAA tồn tại ở các mục tiêu CNAME trong chuỗi CNAME, chẳng hạn như cname-deny.basic.domainname.com, cname-cname-deny.basic.domainname.com và sub1.cname-deny.basic.domainname.com. Hành vi hiện tại đối với các bản ghi CAA có CNAME là nếu bạn yêu cầu chứng chỉ cho  a.domain.com và đó là một bản ghi cname cho sub.sub.anotherdomain.com sau đó kiểm tra CAA cũng sẽ kiểm tra đến tên miền gốc của anotherdomain.com để có hồ sơ CAA.
  8. Từ chối thay vì cha mẹ dễ dãi: deny.permit.basic.domainname.com – Không thành công nếu tên miền con bị hạn chế ngay cả khi tên miền cha cho phép cấp.
  9. Máy chủ chỉ có IPv6: ipv6only.domainname.com – Không thành công nếu bản ghi CAA chỉ có thể truy cập qua IPv6 và CA không thể xử lý bản ghi đó.

Lỗi DNSSEC

  1. Chữ ký DNSSEC đã hết hạn: expired.domainname-dnssec.com – Không thành công nếu chữ ký DNSSEC đã hết hạn.
  2. Thiếu chữ ký DNSSEC: missing.domainname-dnssec.com – Không thành công nếu không có chữ ký DNSSEC.
  3. Máy chủ DNS không phản hồi: blackhole.domainname-dnssec.com – Không thành công nếu chuỗi xác thực DNSSEC dẫn đến máy chủ không phản hồi.
  4. Phản hồi SERVFAIL: servfail.domainname-dnssec.com – Không thành công nếu máy chủ DNS phản hồi bằng SERVFAIL.
  5. Phản hồi BỊ TỪ CHỐI: denied.domainname-dnssec.com – Không thành công nếu máy chủ DNS trả lời bằng REFUSED.

Kiểm tra bảo mật

  1. Lỗ hổng XSS: xss.domainname.com – Không thành công nếu thuộc tính vấn đề chứa HTML hoặc JavaScript, kiểm tra lỗ hổng XSS.

Bài kiểm tra đặc biệt và thông tin

Các thử nghiệm này có liên quan trong các tình huống cụ thể, chẳng hạn như kiểm tra SAN (Tên thay thế chủ thể) tự động hoặc một số tình huống đặt bí danh DNS. Bộ công cụ này đảm bảo các CA tuân thủ các Yêu cầu cơ bản, cụ thể là không cấp chứng chỉ khi áp dụng các hạn chế của CAA.

Cách giải quyết lỗi kiểm tra CAA

Sử dụng các bước và công cụ sau để giúp giải quyết lỗi kiểm tra CAA:
  1. Xem lại hồ sơ CAA: Xác nhận rằng hồ sơ CAA của bạn cho phép rõ ràng Cơ quan cấp chứng chỉ là đơn vị phát hành:  
    1. phát hành “ssl.com” cho tên miền 
    2. issuewild “ssl.com” cho chứng chỉ đại diện
  2. Sử dụng lệnh đào: Đây là một công cụ mạng đa năng được sử dụng để tương tác với các máy chủ tên DNS. Nó thực hiện các truy vấn DNS và trình bày các phản hồi từ các máy chủ mà nó truy vấn, khiến nó trở thành một công cụ vô giá để chẩn đoán và giải quyết các vấn đề liên quan đến DNS. ví dụ: dig @1.1.1.1 domain.com CAA. nó sẽ hiển thị trạng thái:KHÔNG CÓ LỖI
    1. Sử dụng lệnh dig cho các miền phụ: Để giải quyết lỗi kiểm tra CAA cho các tên miền phụ như sub2.sub1.example.com bằng cách sử dụng đào lệnh, đảm bảo những điều sau: đào Lệnh CAA phải trả về NXDOMAIN or KHÔNG CÓ LỖI nếu không có bản ghi CAA nào tồn tại và điều này cần được xác minh cho từng cấp của hệ thống phân cấp tên miền—bắt đầu bằng tên miền đầy đủ (FQDN) sub2.sub1.example.com, sau đó chuyển lên sub1.example.com và cuối cùng là tên miền cấp cao nhất example.com. Quy trình xác minh sẽ tiếp tục lên đến tên miền cấp cao nhất cho đến khi tìm thấy bản ghi CAA.
      Lưu ý: Hành vi hiện tại đối với các bản ghi CAA có CNAME là nếu bạn yêu cầu chứng chỉ cho  a.domain.com và đó là một bản ghi cname cho sub.sub.anotherdomain.com sau đó kiểm tra CAA cũng sẽ kiểm tra đến tên miền gốc của anotherdomain.com để có hồ sơ CAA.
  3. Sử dụng Oracle công cụ delv: bản đồ được thiết kế để khắc phục sự cố truy vấn DNS và xác thực phản hồi bằng DNSSEC, mô phỏng hành vi của máy chủ DNS được cấu hình để xác thực và chuyển tiếp. Nó gửi truy vấn đến máy chủ được chỉ định, bao gồm cả truy vấn cho bản ghi DNSKEY và DS, để thiết lập chuỗi tin cậy mà không thực hiện giải quyết lặp lại. Công cụ cung cấp nhiều tùy chọn truy vấn khác nhau, chẳng hạn như ghi nhật ký truy xuất trình giải quyết (+[no]rtrace), chi tiết phản hồi (+[no]mtrace), và các quy trình xác thực (+[no]vtrace).
  4. Kiểm tra cài đặt DNSSEC: Các công cụ như DNSViz or Trình phân tích DNSSEC của Verisign có thể giúp xác thực thiết lập DNSSEC của bạn.
  5. Tham khảo Nhà cung cấp DNS của bạn:Đối với các lỗi liên quan đến DNSSEC, nhà cung cấp DNS của bạn có thể hỗ trợ giải quyết các vấn đề về chữ ký DNSSEC hoặc cấu hình.

Các Tài Liệu Tham Khảo Khác 

Để xem trực tiếp các tình huống này, hãy truy cập https://caatestsuite.com/.    

Hướng dẫn liên quan đến SSL.com

Bạn cần định cấu hình CAA để cho phép SSL.com cấp chứng chỉ cho miền của bạn? Sau đó làm ơn xem lại bài viết này.
Twitter
Facebook
LinkedIn
Reddit
E-mail

Nhóm hỗ trợ SSL

Tất cả bài viết »

Luôn cập nhật thông tin và bảo mật

SSL.com là công ty hàng đầu thế giới về an ninh mạng, PKI và chứng chỉ số. Đăng ký để nhận tin tức, thủ thuật và thông báo sản phẩm mới nhất trong ngành từ SSL.com.

Chúng tôi rất mong nhận được phản hồi của bạn

Hãy tham gia cuộc khảo sát của chúng tôi và cho chúng tôi biết suy nghĩ của bạn về lần mua hàng gần đây của bạn.

Tham gia khảo sát