Defaults.Exposed › الإعداد › CAA

كيفية إعداد سجل CAA على Cloudflare

أضف سجل CAA في Cloudflare للتحكّم في جهات إصدار الشهادات (certificate authorities) المسموح لها بإصدار شهادات SSL لنطاقك.

لماذا يهمّ هذا عملك

يُسمّي سجل CAA جهات إصدار الشهادات (الشركات التي تُصدر شهادات SSL/TLS التي تقف خلف القفل في المتصفّح) المسموح لها بإصدار شهادة لنطاقك. وعلى أي جهة تلتزم بالقواعد أن تتحقّق من هذا السجل أولاً وترفض الطلب إن لم تكن مدرجة في القائمة.

بعبارة بسيطة: بدون سجل CAA، يمكن لأي من مئات جهات إصدار الشهادات حول العالم أن تُخدَع أو تُخطئ فتسلّم شخصاً ما شهادة صالحة لنطاقك — وهي ما قد يستخدمها مهاجم لانتحال موقعك بإقناع شديد. سجل CAA يُغلق هذا الباب بقوله هذه الجهات فقط، ولا أحد سواها. إنه مجاني ويستغرق دقائق معدودة.

تأكّد أن Cloudflare هو من يُدير DNS الخاص بك

لا ينجح هذا إلا إذا كان Cloudflare هو من يُجيب عن استعلامات DNS لنطاقك. فـ Cloudflare هو مضيف DNS الخاص بك، ولا يكون DNS الخاص به حيّاً إلا حين تشير خوادم الأسماء (nameservers) لنطاقك إلى خوادم أسماء Cloudflare الظاهرة في لوحة التحكم. افتح نطاقك في Cloudflare وتحقّق من صفحة Overview للتأكّد أن Cloudflare نشط. إن كانت خوادم أسمائك تشير إلى مكان آخر، فأضف سجل CAA لدى المزوّد الذي يُدير DNS فعلياً بدلاً من ذلك.

اعرف جهة إصدار شهادتك أولاً

قبل أن تُضيف أي شيء، اعرف أي جهة تُصدر شهادتك، وإلا خاطرت بإقصاء مزوّدك أنت. القيم الشائعة:

• letsencrypt.org — Let’s Encrypt (تستخدمها معظم الشهادات المجانية والمؤتمتة)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

ملاحظة خاصة بـ Cloudflare: إن استخدمت خدمة SSL الخاصة بـ Cloudflare (إعداد السحابة البرتقالية المُمرَّر عبر الوكيل)، فإن Cloudflare يُصدر الشهادات عبر عدة جهات نيابةً عنك — فتأكّد أن أي سجل CAA تُضيفه لا يزال يسمح بتلك الجهات، أو دع Cloudflare يُدير CAA نيابةً عنك. إن لم تكن متأكداً، فاسأل من أعدّ استضافتك، أو افحص الشهادة في متصفّحك (انقر القفل، ثم اعرض جهة إصدار الشهادة).

خطوة بخطوة على Cloudflare

1. سجّل الدخول إلى Cloudflare واختر نطاقك.
2. من القائمة الجانبية، انتقل إلى إعدادات DNS (ابحث عن DNS / Records).
3. انقر Add record.
4. اضبط Type على CAA.
5. في حقل Name، أدخل: @ تعني @ جذر نطاقك. يُلحق Cloudflare النطاق نيابةً عنك، فلا تكتب اسم نطاقك بعده.
6. يُظهر Cloudflare حقول CAA كقوائم ميسّرة. اضبطها كالتالي:
   • Flags: 0
   • Tag: اختر Only allow specific hostnames (هذا هو Tag بقيمة issue)
   • CA domain name (القيمة): letsencrypt.org
7. اترك TTL على Auto.
8. انقر Save.

السماح لأكثر من جهة إصدار شهادات

تستخدم معظم النطاقات أكثر من جهة بمرور الوقت — مثلاً شهادة مجانية اليوم ومدفوعة لاحقاً، أو جهة مختلفة لخدمة منفصلة. للسماح بعدة جهات، أضِف سجل CAA منفصلاً لكل واحدة. تستخدم كلها نفس الاسم @، ونفس Flags 0، ونفس Tag issue — وتتغيّر قيمة نطاق الـ CA فقط:

• سجل بقيمة letsencrypt.org
• سجل بقيمة digicert.com

معاً يقولان كلتا هاتين الجهتين مسموح بهما، ولا غيرهما. ولا تدمجهما في سجل واحد.

أخطاء يقع فيها الناس مع Cloudflare

• أكبر خطأ هو إقصاء جهتك أنت. إن أضفت سجل CAA يُدرج digicert.com فقط بينما تتجدّد شهادتك فعلاً عبر Let’s Encrypt، فسيفشل التجديد التالي بصمت وقد ينكسر قفلك بعد أسابيع. أدرِج دائماً كل جهة تستخدمها فعلاً قبل الحفظ.
• انتبه لخدمة SSL الخاصة بـ Cloudflare. إن كانت زياراتك تمرّ عبر Cloudflare (السحابة البرتقالية)، فإن Cloudflare بحاجة إلى القدرة على الحصول على شهادات الحافة. وإضافة سجل CAA يستثني الجهات التي يستخدمها Cloudflare قد يكسر ذلك — عند الشك، اسمح بـ Let’s Encrypt و Google Trust Services (pki.goog) إلى جانب جهتك، أو اترك CAA لـ Cloudflare.
• الـ Name هو @، لا نطاقك. استخدم @ للجذر؛ يُضيف Cloudflare النطاق بنفسه.
• صياغة Tag تختلف. يُسمّي Cloudflare الـ Tag بقيمة issue بـ Only allow specific hostnames في قائمته. وهذا هو الخيار الصحيح للاستخدام العادي.
• الـ Flags هو 0 للسجل العادي. القيمة الأخرى، 128، هي وضع صارم — استخدمها بقصد فقط.
• استخدم النطاق المجرّد، لا رابطاً. القيمة هي letsencrypt.org، وليست https://letsencrypt.org ولا www..
• لا تفعيل للوكيل (proxy) على سجل CAA. الـ CAA سجل DNS صرف — فلا توجد سحابة برتقالية/رمادية تقلق بشأنها هنا.
• امنحه وقتاً. قد تستغرق تغييرات DNS من بضع دقائق إلى ساعتين حتى تسري. الشهادات القائمة تظل تعمل؛ ولا يُفحَص CAA إلا حين تُصدَر شهادة جديدة أو تُجدَّد.

تحقّق من نجاح العملية

بعد الحفظ والانتشار، شغّل الفحص المجاني على هذا الموقع. سيُخبرك بلغة واضحة ما إذا كان سجل CAA موجوداً وأي جهات سمحت بها.

انتهيت؟ افحص نطاقك مجانًا لتأكيد نجاح العملية — ولمعرفة تقييمك الكامل عبر الفحوص الـ34 جميعها.