Defaults.Exposed › Настройка › CAA
Как да настроите CAA запис в AWS Route 53
Добавете CAA запис в AWS Route 53, за да контролирате кои сертифициращи органи имат право да издават SSL сертификати за вашия домейн.
Защо това е важно за вашия бизнес
CAA записът назовава кои сертифициращи органи (компаниите, издаващи SSL/TLS сертификатите зад катинара в браузъра) имат право да издадат сертификат за вашия домейн. Всеки орган, спазващ правилата, трябва да провери първо този запис и да откаже заявката, ако не е в списъка.
Казано простичко: без CAA запис стотици сертифициращи органи по целия свят могат да бъдат излъгани или да направят грешка и да дадат на някой валиден сертификат за вашия домейн — който нападателят може да използва, за да се представи убедително за вашия уебсайт. CAA записът затваря тази врата, казвайки само тези органи, никой друг. Безплатен е и отнема само няколко минути.
Потвърдете, че Route 53 управлява вашия DNS
Това работи само ако Route 53 отговаря на DNS за вашия домейн. В Route 53 вашите записи живеят в хостирана зона за домейна, и тази зона е активна само когато nameserver-ите на вашия домейн сочат към четирите nameserver-а на Route 53, изброени в зоната. Отворете хостираната зона, проверете записа NS и потвърдете, че тези nameserver-и са зададени при вашия регистратор. Ако вашите nameserver-и сочат другаде, добавете CAA записа при доставчика, който всъщност управлява вашия DNS.
Първо узнайте вашия сертифициращ орган
Преди да добавите каквото и да е, разберете кой орган издава вашия сертификат, или рискувате да изключите собствения си доставчик. Често срещани стойности:
amazon.com— Amazon (AWS Certificate Manager, ACM)letsencrypt.org— Let’s Encrypt (използван от повечето безплатни и автоматизирани сертификати)digicert.com— DigiCertsectigo.com— Sectigoglobalsign.com— GlobalSignpki.goog— Google Trust Services
Ако използвате AWS Certificate Manager за осигуряване на сертификати, трябва да разрешите amazon.com, иначе ACM няма да може да издава. Ако не сте сигурни, попитайте хостинг провайдъра си или проверете сертификата в браузъра (кликнете катинара, след което прегледайте издателя).
Стъпка по стъпка в Route 53
- Влезте в AWS Management Console и отворете Route 53.
- В лявото меню изберете Hosted zones, след което изберете вашия домейн.
- Кликнете Create record.
- Оставете полето Record name празно, за да приложите записа към корена на вашия домейн (apex). Не въвеждайте тук домейн-името.
- Задайте Record type на CAA.
- В полето Value въведете записа в тричастния формат на Route 53 на един ред:
0 issue "letsencrypt.org"Тоест: Flags (0), после Tag (issue), после сертифициращият орган в двойни кавички. - Оставете TTL по подразбиране (300 секунди е добре).
- Изберете Simple routing, ако бъдете подканени, след което кликнете Create records.
Разрешаване на повече от един сертифициращ орган
Повечето домейни използват повече от един орган с времето — например AWS Certificate Manager за една услуга и Let’s Encrypt за друга. В Route 53 добавяте допълнителните органи като допълнителни редове в полето Value на същия CAA запис, по един на ред:
0 issue "amazon.com"
0 issue "letsencrypt.org"
Взети заедно, те казват и двата органа са разрешени, никой друг. Всеки ред е отделен запис за issue; не поставяйте два органа на един ред.
Грешки, които хората допускат в Route 53
- Най-голямата грешка е изключването на собствения ви орган. Ако добавите CAA запис, изброяващ само
digicert.com, но сертификатът ви действително се подновява чрез Let’s Encrypt или ACM, следващото подновяване ще се провали безшумно и катинарът може да спре да работи. Винаги включвайте всеки орган, който реално използвате, преди да запазите. - Разрешете
amazon.comза ACM. Ако сертификатите ви идват от AWS Certificate Manager и CAA записът ви не включваamazon.com, ACM валидирането и подновяването ще се провалят. Това е най-честата специфична за Route 53 грешка. - Кавичките около CA органа са задължителни. Route 53 очаква
0 issue "letsencrypt.org"с органа в двойни кавички. Пропускането им прави записа невалиден. - Оставете полето Record name празно за корена. Празно поле за Name прилага записа на apex; въвеждането на домейн-название там го поставя на грешното място.
- Flags е
0за нормален запис. Другата стойност,128, е строг режим — използвайте я само съзнателно. - Използвайте само домейна, без URL. Стойността е
letsencrypt.org, никогаhttps://letsencrypt.orgи никогаwww.. - Дайте му време. DNS промените могат да отнемат от няколко минути до няколко часа, преди да влязат в сила. Съществуващите сертификати продължават да работят; CAA се проверява само при издаване или подновяване на нов.
Проверете дали е сработило
След запазване и разпространение, стартирайте безплатната проверка на този сайт. Тя ще ви каже на разбираем език дали вашият CAA запис е на място и кои органи сте разрешили.
Готово? Проверете домейна си безплатно за да потвърдите, че е проработило — и вижте пълната си оценка по всички 34 проверки.