Defaults.Exposed › Nastavení › CAA

Jak nastavit CAA záznam na GoDaddy

Přidejte CAA záznam v GoDaddy a určete, které certifikační autority smějí vydávat SSL certifikáty pro vaši doménu.

Co to znamená pro vaši firmu

CAA záznam jmenuje certifikační autority (společnosti vydávající SSL/TLS certifikáty stojící za zámečkem v prohlížeči), které smějí vydat certifikát pro vaši doménu. Každá autorita dodržující pravidla musí tento záznam nejprve zkontrolovat a žádost odmítnout, pokud na seznamu není.

Jednoduše řečeno: bez CAA záznamu by mohly stovky certifikačních autorit po celém světě být oklamány nebo udělat chybu a vydat platný certifikát pro vaši doménu — který by útočník mohl použít k věrohodné imitaci vašeho webu. CAA záznam tuto mezeru uzavírá tím, že říká: pouze tyto autority, žádná jiná. Je zdarma a zabere pár minut.

Ověřte, že GoDaddy spravuje vaše DNS

Toto funguje pouze tehdy, pokud GoDaddy odpovídá na DNS dotazy pro vaši doménu. GoDaddy prodává domény a také hostuje DNS, ale obě věci jsou oddělené — jmenné servery vaší domény musí ukazovat na GoDaddy, aby záznamy přidané zde byly aktivní. Přihlaste se, otevřete doménu a ověřte, že jmenné servery jsou GoDaddyho vlastní. Pokud ukazují jinam, přidejte CAA záznam u toho poskytovatele, který vaše DNS skutečně spravuje.

Nejprve zjistěte svou certifikační autoritu

Než cokoli přidáte, zjistěte, která autorita vydává váš certifikát, nebo riskujete zablokování vlastního poskytovatele. Běžné hodnoty:

• letsencrypt.org — Let’s Encrypt (většina bezplatných a automatizovaných certifikátů)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Pokud si nejste jisti, zeptejte se toho, kdo vám nastavoval hosting, nebo zkontrolujte certifikát v prohlížeči (klikněte na zámeček a zobrazte vydavatele certifikátu).

Postup na GoDaddy

1. Přihlaste se do GoDaddy a otevřete Domain Portfolio (nebo My Products).
2. Najděte svou doménu a otevřete stránku správy DNS (hledejte DNS nebo Manage DNS).
3. V seznamu záznamů klikněte na Add (nebo Add New Record).
4. Nastavte Type na CAA.
5. Do pole Name (nebo Host) zadejte: @ Znak @ znamená kořen vaší domény. Nezadávejte sem název domény.
6. Nastavte Flags na: 0
7. Nastavte Tag na: issue
8. Do pole Value zadejte identifikátor vaší certifikační autority, například: letsencrypt.org
9. TTL nechte na výchozí hodnotě (1 hodina je v pořádku).
10. Klikněte na Save.

Povolení více certifikačních autorit

Většina domén časem používá více než jednu autoritu — například dnes bezplatný certifikát a později placený, nebo jinou pro samostatnou službu. Chcete-li povolit více, přidejte samostatný CAA záznam pro každou z nich. Všechny používají stejný název @, příznak 0 a tag issue — mění se pouze hodnota:

• jeden záznam s hodnotou letsencrypt.org
• jeden záznam s hodnotou digicert.com

Dohromady říkají: obě tyto autority jsou povoleny, žádné jiné. Nekombinujte je do jednoho záznamu.

Časté chyby na GoDaddy

• Největší chybou je zablokování vlastní autority. Pokud přidáte CAA záznam uvádějící pouze digicert.com, ale váš certifikát se ve skutečnosti obnovuje přes Let’s Encrypt, příští obnovení tiše selže a váš zámeček se může rozbít o týdny později. Vždy zahrňte každou autoritu, kterou skutečně používáte, než uložíte.
• Name je @, ne vaše doména. Zapsání celého názvu domény do pole Name vytvoří záznam na špatném místě. Použijte @ pro kořen.
• Flags je 0 pro normální záznam. Druhá hodnota, 128, je přísný režim, který způsobí, že nespolupracující autorita žádost odmítne — používejte ji vědomě. Pro běžné použití 0.
• Používejte holou doménu, ne URL. Hodnota je letsencrypt.org, nikdy https://letsencrypt.org ani www..
• Nepřidávejte vlastní uvozovky. Zadejte prostou hodnotu; GoDaddy se postará o uvozovky sám.
• Dejte tomu čas. Změny DNS mohou trvat od několika minut až po pár hodin. Stávající certifikáty zůstanou funkční; CAA se kontroluje pouze při vydání nebo obnovení nového.

Ověření, že vše funguje

Po uložení a propagaci spusťte bezplatnou kontrolu na tomto webu. V srozumitelném jazyce vám řekne, zda je váš CAA záznam na místě a které autority jste povolili.

Hotovo? Zkontrolujte svou doménu zdarma a ověřte, že to fungovalo — a zobrazí se vaše úplné hodnocení ve všech 34 kontrolách.