Defaults.Exposed › Nastavení › CAA

Jak nastavit CAA záznam na Cloudflare

Přidejte CAA záznam v Cloudflare a určete, které certifikační autority smějí vydávat SSL certifikáty pro vaši doménu.

Co to znamená pro vaši firmu

CAA záznam jmenuje certifikační autority (společnosti vydávající SSL/TLS certifikáty stojící za zámečkem v prohlížeči), které smějí vydat certifikát pro vaši doménu. Každá autorita dodržující pravidla musí tento záznam nejprve zkontrolovat a žádost odmítnout, pokud na seznamu není.

Jednoduše řečeno: bez CAA záznamu by mohly stovky certifikačních autorit po celém světě být oklamány nebo udělat chybu a vydat platný certifikát pro vaši doménu — který by útočník mohl použít k věrohodné imitaci vašeho webu. CAA záznam tuto mezeru uzavírá tím, že říká: pouze tyto autority, žádná jiná. Je zdarma a zabere pár minut.

Ověřte, že Cloudflare spravuje vaše DNS

Toto funguje pouze tehdy, pokud Cloudflare odpovídá na DNS dotazy pro vaši doménu. Cloudflare je váš DNS hostitel a jeho DNS je aktivní pouze tehdy, když jmenné servery vaší domény ukazují na Cloudflare jmenné servery zobrazené v dashboardu. Otevřete doménu v Cloudflare a zkontrolujte stránku Overview, zda je Cloudflare aktivní. Pokud jmenné servery ukazují jinam, přidejte CAA záznam u toho poskytovatele, který vaše DNS skutečně spravuje.

Nejprve zjistěte svou certifikační autoritu

Než cokoli přidáte, zjistěte, která autorita vydává váš certifikát, nebo riskujete zablokování vlastního poskytovatele. Běžné hodnoty:

• letsencrypt.org — Let’s Encrypt (většina bezplatných a automatizovaných certifikátů)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Poznámka ke Cloudflare: pokud používáte vlastní SSL od Cloudflare (proxované oranžové-oblak nastavení), Cloudflare za vás vydává certifikáty přes několik autorit — ujistěte se, že jakýkoli CAA záznam, který přidáte, tyto autority stále povoluje, nebo nechte CAA spravovat Cloudflare. Pokud si nejste jisti, zeptejte se toho, kdo vám nastavoval hosting, nebo zkontrolujte certifikát v prohlížeči (klikněte na zámeček a zobrazte vydavatele certifikátu).

Postup na Cloudflare

1. Přihlaste se do Cloudflare a vyberte svou doménu.
2. V levém menu přejděte do DNS nastavení (hledejte DNS / Records).
3. Klikněte na Add record.
4. Nastavte Type na CAA.
5. Do pole Name zadejte: @ Znak @ znamená kořen vaší domény. Cloudflare doménu doplní sám, nezadávejte ji za @.
6. Cloudflare zobrazí pole CAA jako přehledné menu. Nastavte je takto:
   • Flags: 0
   • Tag: zvolte Only allow specific hostnames (to je tag issue)
   • CA domain name (hodnota): letsencrypt.org
7. TTL nechte na Auto.
8. Klikněte na Save.

Povolení více certifikačních autorit

Většina domén časem používá více než jednu autoritu — například dnes bezplatný certifikát a později placený, nebo jinou pro samostatnou službu. Chcete-li povolit více, přidejte samostatný CAA záznam pro každou z nich. Všechny používají stejný název @, příznak 0 a tag issue — mění se pouze hodnota CA domény:

• jeden záznam s hodnotou letsencrypt.org
• jeden záznam s hodnotou digicert.com

Dohromady říkají: obě tyto autority jsou povoleny, žádné jiné. Nekombinujte je do jednoho záznamu.

Časté chyby na Cloudflare

• Největší chybou je zablokování vlastní autority. Pokud přidáte CAA záznam uvádějící pouze digicert.com, ale váš certifikát se ve skutečnosti obnovuje přes Let’s Encrypt, příští obnovení tiše selže a váš zámeček se může rozbít o týdny později. Vždy zahrňte každou autoritu, kterou skutečně používáte, než uložíte.
• Pozor na vlastní SSL od Cloudflare. Pokud váš provoz prochází přes Cloudflare (oranžový oblak), Cloudflare potřebuje mít možnost získat edge certifikáty. Přidání CAA záznamu, který vylučuje autority, které Cloudflare používá, to může rozbít — v pochybnostech povolte Let’s Encrypt a Google Trust Services (pki.goog) vedle svých vlastních, nebo nechte CAA na Cloudflare.
• Name je @, ne vaše doména. Použijte @ pro kořen; Cloudflare doménu přidá sám.
• Popis tagu se liší. Cloudflare označuje tag issue jako Only allow specific hostnames ve svém menu. To je správná volba pro normální použití.
• Flags je 0 pro normální záznam. Druhá hodnota, 128, je přísný režim — používejte ji vědomě.
• Používejte holou doménu, ne URL. Hodnota je letsencrypt.org, nikdy https://letsencrypt.org ani www..
• CAA záznam se neproxuje. CAA je čistý DNS záznam — žádný přepínač oranžového/šedého oblaku se zde nepoužívá.
• Dejte tomu čas. Změny DNS mohou trvat od několika minut až po pár hodin. Stávající certifikáty zůstanou funkční; CAA se kontroluje pouze při vydání nebo obnovení nového.

Ověření, že vše funguje

Po uložení a propagaci spusťte bezplatnou kontrolu na tomto webu. V srozumitelném jazyce vám řekne, zda je váš CAA záznam na místě a které autority jste povolili.

Hotovo? Zkontrolujte svou doménu zdarma a ověřte, že to fungovalo — a zobrazí se vaše úplné hodnocení ve všech 34 kontrolách.