Defaults.Exposed › Настройка › CAA
Как да настроите CAA запис в Cloudflare
Добавете CAA запис в Cloudflare, за да контролирате кои сертифициращи органи имат право да издават SSL сертификати за вашия домейн.
Защо това е важно за вашия бизнес
CAA записът назовава кои сертифициращи органи (компаниите, издаващи SSL/TLS сертификатите зад катинара в браузъра) имат право да издадат сертификат за вашия домейн. Всеки орган, спазващ правилата, трябва да провери първо този запис и да откаже заявката, ако не е в списъка.
Казано простичко: без CAA запис стотици сертифициращи органи по целия свят могат да бъдат излъгани или да направят грешка и да дадат на някой валиден сертификат за вашия домейн — който нападателят може да използва, за да се представи убедително за вашия уебсайт. CAA записът затваря тази врата, казвайки само тези органи, никой друг. Безплатен е и отнема само няколко минути.
Потвърдете, че Cloudflare управлява вашия DNS
Това работи само ако Cloudflare отговаря на DNS за вашия домейн. Cloudflare е вашият DNS хост и DNS му е активен само когато nameserver-ите на вашия домейн сочат към nameserver-ите на Cloudflare, показани в таблото ви. Отворете вашия домейн в Cloudflare и проверете страницата Overview, за да потвърдите, че Cloudflare е активен. Ако вашите nameserver-и сочат другаде, добавете CAA записа при доставчика, който всъщност управлява вашия DNS.
Първо узнайте вашия сертифициращ орган
Преди да добавите каквото и да е, разберете кой орган издава вашия сертификат, или рискувате да изключите собствения си доставчик. Често срещани стойности:
letsencrypt.org— Let’s Encrypt (използван от повечето безплатни и автоматизирани сертификати)digicert.com— DigiCertsectigo.com— Sectigoglobalsign.com— GlobalSignpki.goog— Google Trust Servicesamazon.com— Amazon (AWS Certificate Manager)
Бележка за Cloudflare: ако използвате собствения SSL на Cloudflare (настройката с оранжев облак/прокси), Cloudflare издава edge сертификати чрез няколко органа от ваше име — затова се уверете, че CAA записът, който добавяте, все още разрешава тези органи, или оставете Cloudflare да управлява CAA вместо вас. При съмнение попитайте хостинг провайдъра си или проверете сертификата в браузъра (кликнете катинара, след което прегледайте издателя).
Стъпка по стъпка в Cloudflare
- Влезте в Cloudflare и изберете вашия домейн.
- В менюто вляво отидете в DNS настройките (потърсете DNS / Records).
- Кликнете Add record.
- Задайте Type на CAA.
- В полето Name въведете:
@Символът@означава корена на вашия домейн. Cloudflare добавя домейна сам, така че не въвеждайте домейн-името след него. - Cloudflare показва CAA полетата като удобни менюта. Задайте ги така:
- Flags:
0 - Tag: изберете Only allow specific hostnames (това е тагът
issue) - CA domain name (стойността):
letsencrypt.org
- Flags:
- Оставете TTL на Auto.
- Кликнете Save.
Разрешаване на повече от един сертифициращ орган
Повечето домейни използват повече от един орган с времето — например безплатен сертификат сега и платен по-късно, или различен за отделна услуга. За да разрешите няколко, добавете отделен CAA запис за всеки един. Всички използват едно и също @ за Name, 0 за Flags и таг issue — само стойността за CA домейна се променя:
- един запис със стойност
letsencrypt.org - един запис със стойност
digicert.com
Взети заедно, те казват и двата органа са разрешени, никой друг. Не ги комбинирайте в един запис.
Грешки, които хората допускат в Cloudflare
- Най-голямата грешка е изключването на собствения ви орган. Ако добавите CAA запис, изброяващ само
digicert.com, но сертификатът ви действително се подновява чрез Let’s Encrypt, следващото подновяване ще се провали безшумно и катинарът може да спре да работи седмици по-късно. Винаги включвайте всеки орган, който реално използвате, преди да запазите. - Внимавайте с SSL на Cloudflare. Ако трафикът ви минава през Cloudflare (оранжев облак), Cloudflare трябва да може да получава edge сертификати. Добавянето на CAA запис, изключващ органите, използвани от Cloudflare, може да наруши това — при съмнение разрешете Let’s Encrypt и Google Trust Services (
pki.goog) заедно с вашите, или оставете CAA на Cloudflare. - Name е
@, не вашият домейн. Използвайте@за корена; Cloudflare добавя домейна сам. - Формулировката на тага се различава. Cloudflare обозначава тага
issueкато Only allow specific hostnames в менюто си. Това е правилният избор за обичайна употреба. - Flags е
0за нормален запис. Другата стойност,128, е строг режим — използвайте я само съзнателно. - Използвайте само домейна, без URL. Стойността е
letsencrypt.org, никогаhttps://letsencrypt.orgи никогаwww.. - Без прокси на CAA запис. CAA е чист DNS запис — тук няма превключвател с оранжев/сив облак, за който да се притеснявате.
- Дайте му време. DNS промените могат да отнемат от няколко минути до няколко часа, преди да влязат в сила. Съществуващите сертификати продължават да работят; CAA се проверява само при издаване или подновяване на нов.
Проверете дали е сработило
След запазване и разпространение, стартирайте безплатната проверка на този сайт. Тя ще ви каже на разбираем език дали вашият CAA запис е на място и кои органи сте разрешили.
Готово? Проверете домейна си безплатно за да потвърдите, че е проработило — и вижте пълната си оценка по всички 34 проверки.