Defaults.Exposed

Defaults.Exposed › Настройка › CAA

Как да настроите CAA запис в AWS Route 53

Добавете CAA запис в AWS Route 53, за да контролирате кои сертифициращи органи имат право да издават SSL сертификати за вашия домейн.

Защо това е важно за вашия бизнес

CAA записът назовава кои сертифициращи органи (компаниите, издаващи SSL/TLS сертификатите зад катинара в браузъра) имат право да издадат сертификат за вашия домейн. Всеки орган, спазващ правилата, трябва да провери първо този запис и да откаже заявката, ако не е в списъка.

Казано простичко: без CAA запис стотици сертифициращи органи по целия свят могат да бъдат излъгани или да направят грешка и да дадат на някой валиден сертификат за вашия домейн — който нападателят може да използва, за да се представи убедително за вашия уебсайт. CAA записът затваря тази врата, казвайки само тези органи, никой друг. Безплатен е и отнема само няколко минути.

Потвърдете, че Route 53 управлява вашия DNS

Това работи само ако Route 53 отговаря на DNS за вашия домейн. В Route 53 вашите записи живеят в хостирана зона за домейна, и тази зона е активна само когато nameserver-ите на вашия домейн сочат към четирите nameserver-а на Route 53, изброени в зоната. Отворете хостираната зона, проверете записа NS и потвърдете, че тези nameserver-и са зададени при вашия регистратор. Ако вашите nameserver-и сочат другаде, добавете CAA записа при доставчика, който всъщност управлява вашия DNS.

Първо узнайте вашия сертифициращ орган

Преди да добавите каквото и да е, разберете кой орган издава вашия сертификат, или рискувате да изключите собствения си доставчик. Често срещани стойности:

Ако използвате AWS Certificate Manager за осигуряване на сертификати, трябва да разрешите amazon.com, иначе ACM няма да може да издава. Ако не сте сигурни, попитайте хостинг провайдъра си или проверете сертификата в браузъра (кликнете катинара, след което прегледайте издателя).

Стъпка по стъпка в Route 53

  1. Влезте в AWS Management Console и отворете Route 53.
  2. В лявото меню изберете Hosted zones, след което изберете вашия домейн.
  3. Кликнете Create record.
  4. Оставете полето Record name празно, за да приложите записа към корена на вашия домейн (apex). Не въвеждайте тук домейн-името.
  5. Задайте Record type на CAA.
  6. В полето Value въведете записа в тричастния формат на Route 53 на един ред: 0 issue "letsencrypt.org" Тоест: Flags (0), после Tag (issue), после сертифициращият орган в двойни кавички.
  7. Оставете TTL по подразбиране (300 секунди е добре).
  8. Изберете Simple routing, ако бъдете подканени, след което кликнете Create records.

Разрешаване на повече от един сертифициращ орган

Повечето домейни използват повече от един орган с времето — например AWS Certificate Manager за една услуга и Let’s Encrypt за друга. В Route 53 добавяте допълнителните органи като допълнителни редове в полето Value на същия CAA запис, по един на ред:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Взети заедно, те казват и двата органа са разрешени, никой друг. Всеки ред е отделен запис за issue; не поставяйте два органа на един ред.

Грешки, които хората допускат в Route 53

Проверете дали е сработило

След запазване и разпространение, стартирайте безплатната проверка на този сайт. Тя ще ви каже на разбираем език дали вашият CAA запис е на място и кои органи сте разрешили.

Готово? Проверете домейна си безплатно за да потвърдите, че е проработило — и вижте пълната си оценка по всички 34 проверки.