Defaults.Exposed

Defaults.Exposed › Настройка › CAA

Как да настроите CAA запис в Cloudflare

Добавете CAA запис в Cloudflare, за да контролирате кои сертифициращи органи имат право да издават SSL сертификати за вашия домейн.

Защо това е важно за вашия бизнес

CAA записът назовава кои сертифициращи органи (компаниите, издаващи SSL/TLS сертификатите зад катинара в браузъра) имат право да издадат сертификат за вашия домейн. Всеки орган, спазващ правилата, трябва да провери първо този запис и да откаже заявката, ако не е в списъка.

Казано простичко: без CAA запис стотици сертифициращи органи по целия свят могат да бъдат излъгани или да направят грешка и да дадат на някой валиден сертификат за вашия домейн — който нападателят може да използва, за да се представи убедително за вашия уебсайт. CAA записът затваря тази врата, казвайки само тези органи, никой друг. Безплатен е и отнема само няколко минути.

Потвърдете, че Cloudflare управлява вашия DNS

Това работи само ако Cloudflare отговаря на DNS за вашия домейн. Cloudflare е вашият DNS хост и DNS му е активен само когато nameserver-ите на вашия домейн сочат към nameserver-ите на Cloudflare, показани в таблото ви. Отворете вашия домейн в Cloudflare и проверете страницата Overview, за да потвърдите, че Cloudflare е активен. Ако вашите nameserver-и сочат другаде, добавете CAA записа при доставчика, който всъщност управлява вашия DNS.

Първо узнайте вашия сертифициращ орган

Преди да добавите каквото и да е, разберете кой орган издава вашия сертификат, или рискувате да изключите собствения си доставчик. Често срещани стойности:

Бележка за Cloudflare: ако използвате собствения SSL на Cloudflare (настройката с оранжев облак/прокси), Cloudflare издава edge сертификати чрез няколко органа от ваше име — затова се уверете, че CAA записът, който добавяте, все още разрешава тези органи, или оставете Cloudflare да управлява CAA вместо вас. При съмнение попитайте хостинг провайдъра си или проверете сертификата в браузъра (кликнете катинара, след което прегледайте издателя).

Стъпка по стъпка в Cloudflare

  1. Влезте в Cloudflare и изберете вашия домейн.
  2. В менюто вляво отидете в DNS настройките (потърсете DNS / Records).
  3. Кликнете Add record.
  4. Задайте Type на CAA.
  5. В полето Name въведете: @ Символът @ означава корена на вашия домейн. Cloudflare добавя домейна сам, така че не въвеждайте домейн-името след него.
  6. Cloudflare показва CAA полетата като удобни менюта. Задайте ги така:
    • Flags: 0
    • Tag: изберете Only allow specific hostnames (това е тагът issue)
    • CA domain name (стойността): letsencrypt.org
  7. Оставете TTL на Auto.
  8. Кликнете Save.

Разрешаване на повече от един сертифициращ орган

Повечето домейни използват повече от един орган с времето — например безплатен сертификат сега и платен по-късно, или различен за отделна услуга. За да разрешите няколко, добавете отделен CAA запис за всеки един. Всички използват едно и също @ за Name, 0 за Flags и таг issue — само стойността за CA домейна се променя:

Взети заедно, те казват и двата органа са разрешени, никой друг. Не ги комбинирайте в един запис.

Грешки, които хората допускат в Cloudflare

Проверете дали е сработило

След запазване и разпространение, стартирайте безплатната проверка на този сайт. Тя ще ви каже на разбираем език дали вашият CAA запис е на място и кои органи сте разрешили.

Готово? Проверете домейна си безплатно за да потвърдите, че е проработило — и вижте пълната си оценка по всички 34 проверки.