Defaults.Exposed › সেটআপ › CAA
AWS Route 53-এ CAA রেকর্ড সেট আপ করার পদ্ধতি
AWS Route 53-এ একটি CAA রেকর্ড যোগ করুন যাতে নিয়ন্ত্রণ করা যায় কোন সার্টিফিকেট অথরিটিগুলো আপনার ডোমেনের জন্য SSL সার্টিফিকেট ইস্যু করতে পারবে।
এটি আপনার ব্যবসার জন্য কেন গুরুত্বপূর্ণ
একটি CAA রেকর্ড নির্ধারণ করে কোন সার্টিফিকেট অথরিটিগুলো (ব্রাউজারে প্যাডলকের পিছনে SSL/TLS সার্টিফিকেট ইস্যু করে এমন কোম্পানিগুলো) আপনার ডোমেনের জন্য একটি সার্টিফিকেট ইস্যু করতে পারবে। নিয়ম মেনে চলা যেকোনো অথরিটিকে অবশ্যই এই রেকর্ড প্রথমে পরীক্ষা করতে হবে এবং তালিকায় না থাকলে অনুরোধ প্রত্যাখ্যান করতে হবে।
সহজ ভাষায়: CAA রেকর্ড ছাড়া, বিশ্বজুড়ে শত শত সার্টিফিকেট অথরিটির যেকোনো একটি প্রতারিত হতে বা ভুল করে আপনার ডোমেনের জন্য কাউকে একটি বৈধ সার্টিফিকেট দিতে পারে — যা একজন আক্রমণকারী আপনার ওয়েবসাইট বিশ্বাসযোগ্যভাবে ছদ্মবেশ করতে ব্যবহার করতে পারে। একটি CAA রেকর্ড সেই দরজা বন্ধ করে বলে শুধুমাত্র এই অথরিটিগুলো, অন্য কেউ নয়। এটি বিনামূল্যে এবং কয়েক মিনিট সময় নেয়।
নিশ্চিত করুন Route 53 আপনার DNS চালাচ্ছে
এটি তখনই কাজ করে যখন Route 53 আপনার ডোমেনের DNS-এর উত্তর দিচ্ছে। Route 53-এ আপনার রেকর্ডগুলো ডোমেনের একটি হোস্টেড জোনে থাকে, এবং সেই জোন তখনই লাইভ থাকে যখন আপনার ডোমেনের নেমসার্ভার জোনে তালিকাভুক্ত চারটি Route 53 নেমসার্ভারের দিকে পয়েন্ট করে। হোস্টেড জোন খুলুন, এর NS রেকর্ড পরীক্ষা করুন, এবং নিশ্চিত করুন সেই নেমসার্ভারগুলো আপনার রেজিস্ট্রারে সেট আছে। আপনার নেমসার্ভার অন্য কোথাও পয়েন্ট করলে, পরিবর্তে আপনার DNS চালানো প্রদানকারীতে CAA রেকর্ড যোগ করুন।
প্রথমে আপনার সার্টিফিকেট অথরিটি জানুন
কিছু যোগ করার আগে, কোন অথরিটি আপনার সার্টিফিকেট ইস্যু করে তা খুঁজে বের করুন, অথবা আপনি নিজের প্রদানকারীকে লক আউট করার ঝুঁকি নেন। সাধারণ মান:
amazon.com— Amazon (AWS Certificate Manager, ACM)letsencrypt.org— Let’s Encrypt (বেশিরভাগ বিনামূল্যে এবং স্বয়ংক্রিয় সার্টিফিকেট ব্যবহার করে)digicert.com— DigiCertsectigo.com— Sectigoglobalsign.com— GlobalSignpki.goog— Google Trust Services
আপনি সার্টিফিকেট প্রভিশন করতে AWS Certificate Manager ব্যবহার করলে, আপনাকে অবশ্যই amazon.com অনুমোদন করতে হবে নয়তো ACM ইস্যু করতে পারবে না। নিশ্চিত না হলে, হোস্টিং সেটআপকারীকে জিজ্ঞাসা করুন, বা আপনার ব্রাউজারে সার্টিফিকেট পরীক্ষা করুন (প্যাডলকে ক্লিক করুন, তারপর সার্টিফিকেটের ইস্যুয়ার দেখুন)।
Route 53-এ ধাপে ধাপে
- AWS Management Console-এ সাইন ইন করুন এবং Route 53 খুলুন।
- বাম মেনুতে Hosted zones বেছে নিন, তারপর আপনার ডোমেন নির্বাচন করুন।
- Create record ক্লিক করুন।
- আপনার ডোমেনের রুটে রেকর্ড প্রয়োগ করতে Record name ফিল্ড খালি রাখুন (apex)। এখানে আপনার ডোমেন নাম টাইপ করবেন না।
- Record type CAA-তে সেট করুন।
- Value বাক্সে, Route 53-এর তিন-অংশের ফরম্যাটে এক লাইনে রেকর্ড লিখুন:
0 issue "letsencrypt.org"এটি হলো ফ্ল্যাগ (0), তারপর ট্যাগ (issue), তারপর ডাবল কোটে সার্টিফিকেট অথরিটি। - TTL ডিফল্টে রাখুন (300 সেকেন্ড ঠিক আছে)।
- জিজ্ঞাসা করা হলে Simple routing বেছে নিন, তারপর Create records ক্লিক করুন।
একাধিক সার্টিফিকেট অথরিটি অনুমোদন করা
বেশিরভাগ ডোমেন সময়ের সাথে একাধিক অথরিটি ব্যবহার করে — উদাহরণস্বরূপ, একটি সার্ভিসের জন্য AWS Certificate Manager এবং অন্যটির জন্য Let’s Encrypt। Route 53-এ আপনি একই CAA রেকর্ডের Value বাক্সে অতিরিক্ত লাইন হিসেবে অতিরিক্ত অথরিটিগুলো যোগ করুন, প্রতি লাইনে একটি:
0 issue "amazon.com"
0 issue "letsencrypt.org"
একসাথে সেগুলো বলে এই উভয় অথরিটি অনুমোদিত, অন্য কেউ নয়। প্রতিটি লাইন একটি আলাদা issue এন্ট্রি; আপনি দুটি অথরিটিকে এক লাইনে রাখেন না।
Route 53-এ মানুষ যে ভুলগুলো করে
- সবচেয়ে বড় ভুল হলো নিজের অথরিটিকে লক আউট করা। আপনি শুধুমাত্র
digicert.comতালিকাভুক্ত করে একটি CAA রেকর্ড যোগ করলে কিন্তু আপনার সার্টিফিকেট আসলে Let’s Encrypt বা ACM-এর মাধ্যমে রিনিউ হয়, পরবর্তী রিনিউয়াল নীরবে ব্যর্থ হবে এবং আপনার প্যাডলক সপ্তাহ পরে ভাঙতে পারে। সেভ করার আগে সর্বদা আপনি সত্যিই ব্যবহার করা প্রতিটি অথরিটি অন্তর্ভুক্ত করুন। - ACM-এর জন্য
amazon.comঅনুমোদন করুন। আপনার সার্টিফিকেট AWS Certificate Manager থেকে আসলে এবং আপনার CAA রেকর্ডেamazon.comনা থাকলে, ACM যাচাইকরণ এবং রিনিউয়াল ব্যর্থ হবে। এটি সবচেয়ে সাধারণ Route 53-নির্দিষ্ট সমস্যা। - CA-এর চারপাশে কোট আবশ্যক। Route 53 আশা করে
0 issue "letsencrypt.org"অথরিটি ডাবল কোটে। সেগুলো ছেড়ে দিলে রেকর্ডটি অবৈধ হয়। - রুটের জন্য রেকর্ড নাম ফাঁকা রাখুন। একটি খালি নাম apex-এ রেকর্ড প্রয়োগ করে; সেখানে ডোমেন নাম টাইপ করলে এটি ভুল জায়গায় তৈরি হয়।
- Flags একটি সাধারণ রেকর্ডের জন্য
0। অন্য মান,128, হলো একটি কঠোর মোড — শুধুমাত্র ইচ্ছাকৃতভাবে ব্যবহার করুন। - শুধু ডোমেইন ব্যবহার করুন, URL নয়। মান হলো
letsencrypt.org, কখনোhttps://letsencrypt.orgনয় এবং কখনোwww.নয়। - সময় দিন। DNS পরিবর্তনগুলো কার্যকর হতে কয়েক মিনিট থেকে কয়েক ঘণ্টা পর্যন্ত সময় লাগতে পারে। বিদ্যমান সার্টিফিকেট কাজ করতে থাকে; CAA শুধুমাত্র একটি নতুন ইস্যু বা রিনিউ করার সময় পরীক্ষা করা হয়।
এটি কাজ করেছে কিনা যাচাই করুন
সেভ এবং প্রপাগেট হওয়ার পরে, এই সাইটের বিনামূল্যে চেক চালান। এটি সহজ ভাষায় বলবে আপনার CAA রেকর্ড আছে কিনা এবং আপনি কোন অথরিটিগুলো অনুমোদন করেছেন।
সম্পন্ন? আপনার ডোমেইন বিনামূল্যে চেক করুন নিশ্চিত করতে যে এটি কাজ করেছে — এবং সমস্ত ৩৪টি চেক জুড়ে আপনার সম্পূর্ণ গ্রেড দেখুন।