Defaults.Exposed › الإعداد › CAA

كيفية إعداد سجل CAA على AWS Route 53

أضف سجل CAA في AWS Route 53 للتحكّم في جهات إصدار الشهادات (certificate authorities) المسموح لها بإصدار شهادات SSL لنطاقك.

لماذا يهمّ هذا عملك

يُسمّي سجل CAA جهات إصدار الشهادات (الشركات التي تُصدر شهادات SSL/TLS التي تقف خلف القفل في المتصفّح) المسموح لها بإصدار شهادة لنطاقك. وعلى أي جهة تلتزم بالقواعد أن تتحقّق من هذا السجل أولاً وترفض الطلب إن لم تكن مدرجة في القائمة.

بعبارة بسيطة: بدون سجل CAA، يمكن لأي من مئات جهات إصدار الشهادات حول العالم أن تُخدَع أو تُخطئ فتسلّم شخصاً ما شهادة صالحة لنطاقك — وهي ما قد يستخدمها مهاجم لانتحال موقعك بإقناع شديد. سجل CAA يُغلق هذا الباب بقوله هذه الجهات فقط، ولا أحد سواها. إنه مجاني ويستغرق دقائق معدودة.

تأكّد أن Route 53 هو من يُدير DNS الخاص بك

لا ينجح هذا إلا إذا كان Route 53 هو من يُجيب عن استعلامات DNS لنطاقك. في Route 53 تعيش سجلاتك داخل منطقة مستضافة (hosted zone) للنطاق، وهذه المنطقة لا تكون حيّة إلا حين تشير خوادم الأسماء (nameservers) لنطاقك إلى خوادم أسماء Route 53 الأربعة المدرجة في المنطقة. افتح المنطقة المستضافة، وتحقّق من سجل NS الخاص بها، وأكّد أن خوادم الأسماء تلك مضبوطة لدى مُسجّل نطاقك. إن كانت خوادم أسمائك تشير إلى مكان آخر، فأضف سجل CAA لدى المزوّد الذي يُدير DNS فعلياً بدلاً من ذلك.

اعرف جهة إصدار شهادتك أولاً

قبل أن تُضيف أي شيء، اعرف أي جهة تُصدر شهادتك، وإلا خاطرت بإقصاء مزوّدك أنت. القيم الشائعة:

amazon.com — Amazon (AWS Certificate Manager، ACM)
letsencrypt.org — Let’s Encrypt (تستخدمها معظم الشهادات المجانية والمؤتمتة)
digicert.com — DigiCert
sectigo.com — Sectigo
globalsign.com — GlobalSign
pki.goog — Google Trust Services

إن كنت تستخدم AWS Certificate Manager لتزويد الشهادات، فيجب أن تسمح بـ amazon.com وإلا لن يتمكّن ACM من الإصدار. إن لم تكن متأكداً، فاسأل من أعدّ استضافتك، أو افحص الشهادة في متصفّحك (انقر القفل، ثم اعرض جهة إصدار الشهادة).

خطوة بخطوة على Route 53

سجّل الدخول إلى وحدة تحكّم AWS Management Console وافتح Route 53.
من القائمة الجانبية، اختر Hosted zones، ثم اختر نطاقك.
انقر Create record.
اترك حقل Record name فارغاً لتطبيق السجل على جذر نطاقك (الـ apex). لا تكتب اسم نطاقك هنا.
اضبط Record type على CAA.
في صندوق Value، أدخل السجل بصيغة Route 53 الثلاثية الأجزاء على سطر واحد: 0 issue "letsencrypt.org" أي الـ flags (0)، ثم الـ tag (issue)، ثم جهة إصدار الشهادة بين علامتي اقتباس مزدوجتين.
اترك TTL على القيمة الافتراضية (300 ثانية مناسبة).
اختر Simple routing إن طُلب منك، ثم انقر Create records.

السماح لأكثر من جهة إصدار شهادات

تستخدم معظم النطاقات أكثر من جهة بمرور الوقت — مثلاً AWS Certificate Manager لخدمة و Let’s Encrypt لأخرى. في Route 53 تُضيف الجهات الإضافية كـ أسطر إضافية في صندوق Value لسجل CAA نفسه، سطر لكل واحدة:

0 issue "amazon.com"
0 issue "letsencrypt.org"

معاً يقولان كلتا هاتين الجهتين مسموح بهما، ولا غيرهما. كل سطر مُدخَل issue منفصل؛ ولا تضع جهتين على سطر واحد.

أخطاء يقع فيها الناس مع Route 53

أكبر خطأ هو إقصاء جهتك أنت. إن أضفت سجل CAA يُدرج digicert.com فقط بينما تتجدّد شهادتك فعلاً عبر Let’s Encrypt أو ACM، فسيفشل التجديد التالي بصمت وقد ينكسر قفلك بعد أسابيع. أدرِج دائماً كل جهة تستخدمها فعلاً قبل الحفظ.
اسمح بـ amazon.com لأجل ACM. إن كانت شهاداتك تأتي من AWS Certificate Manager ولم يتضمّن سجل CAA الخاص بك amazon.com، فسيفشل تحقّق ACM وتجديده. وهذه أكثر العثرات الخاصة بـ Route 53 شيوعاً.
علامتا الاقتباس حول الـ CA إلزاميتان. يتوقّع Route 53 0 issue "letsencrypt.org" مع الجهة بين علامتي اقتباس مزدوجتين. وإسقاطهما يجعل السجل غير صالح.
اترك اسم السجل فارغاً للجذر. الاسم الفارغ يُطبّق السجل عند الـ apex؛ وكتابة اسم النطاق هناك يُنشئه في المكان الخطأ.
الـ Flags هو 0 للسجل العادي. القيمة الأخرى، 128، هي وضع صارم — استخدمها بقصد فقط.
استخدم النطاق المجرّد، لا رابطاً. القيمة هي letsencrypt.org، وليست https://letsencrypt.org ولا www..
امنحه وقتاً. قد تستغرق تغييرات DNS من بضع دقائق إلى ساعتين حتى تسري. الشهادات القائمة تظل تعمل؛ ولا يُفحَص CAA إلا حين تُصدَر شهادة جديدة أو تُجدَّد.

تحقّق من نجاح العملية

بعد الحفظ والانتشار، شغّل الفحص المجاني على هذا الموقع. سيُخبرك بلغة واضحة ما إذا كان سجل CAA موجوداً وأي جهات سمحت بها.

انتهيت؟ افحص نطاقك مجانًا لتأكيد نجاح العملية — ولمعرفة تقييمك الكامل عبر الفحوص الـ34 جميعها.