Một số thay đổi trong cách xác thực tên miền

Theo tiêu chuẩn xác thực tên miền mới được CAB (tổ chức quản lý các tiêu chuẩn áp dụng bắt buộc cho các CA trên toàn thế giới), từ ngày 07/09/2017, việc xác thực tên miền trong quá trình cấp phát chứng thư sẽ phải đáp ứng 2 tiêu chuẩn bắt buộc:
 

– CA phải xác thực được quyền sở hữu/ quyền sử dụng duy nhất của tổ chức, cá nhân đăng ký chứng thư;
– Chủ sở hữu tên miền phải tạo một bản ghi CAA DNS có tên của CA dự định cấp phát chứng thư cho mình.
 

Theo mô hình này, nếu 1 tên miền có 1 bản ghi CAA, hoặc các bản ghi CAA, và không có bản ghi nào có chứa globalsign.com, thì GlobalSign sẽ không được phép cấp phát chứng thư cho tên miền/ tên miền cấp dưới. Đây không chỉ là một biện pháp xác thực mà còn là một cách giúp chủ sở hữu tên miền chỉ cho phép một số CA xác định được cấp phát chứng thư cho tên miền của mình.
 

GlobalSign sẽ chính thức áp dụng quy định này từ ngày 27/08/2017.
Sẽ có 3 trường hợp:
1. Domain owner để trống trường DNS CAA Records: vẫn xác thực theo cách cũ, Khách hàng không phải bổ sung gì và GlobalSign có thể issue chứng thư
2. Domain owner trỏ globalsign.com trong trường DNS CAA Records: vẫn xác thực theo cách cũ, Khách hàng không phải bổ sung gì và GlobalSign có thể issue chứng thư
3. Domain owner trỏ đến 1 cái gì khác với globalsign.com trong trường DNS CAA Record: Khách hàng cần đưa về (1) hoặc (2) để GlobalSign issue chứng thư
 

Cách tạo CAA DNS Record trên hosted DNS: https://support.dnsimple.com/articles/manage-caa-record/

Cách tạo CAA DNS Record trên DNS zone file: https://support.globalsign.com/customer/portal/articles/2851274-how-to-add-dns-caa-record-to-a-dns-zone-file