Defaults.Exposed › Nastavení › CAA

Jak nastavit CAA záznam na Namecheap

Přidejte CAA záznam v Namecheap a určete, které certifikační autority smějí vydávat SSL certifikáty pro vaši doménu.

Co to znamená pro vaši firmu

CAA záznam jmenuje certifikační autority (společnosti vydávající SSL/TLS certifikáty stojící za zámečkem v prohlížeči), které smějí vydat certifikát pro vaši doménu. Každá autorita dodržující pravidla musí tento záznam nejprve zkontrolovat a žádost odmítnout, pokud na seznamu není.

Jednoduše řečeno: bez CAA záznamu by mohly stovky certifikačních autorit po celém světě být oklamány nebo udělat chybu a vydat platný certifikát pro vaši doménu — který by útočník mohl použít k věrohodné imitaci vašeho webu. CAA záznam tuto mezeru uzavírá tím, že říká: pouze tyto autority, žádná jiná. Je zdarma a zabere pár minut.

Ověřte, že Namecheap spravuje vaše DNS

Toto funguje pouze tehdy, pokud Namecheap odpovídá na DNS dotazy pro vaši doménu. Záznamy níže jdou do Advanced DNS, které je aktivní pouze tehdy, když vaše doména používá Namecheap BasicDNS (nebo PremiumDNS). Přihlaste se, otevřete Domain List, klikněte na Manage u vaší domény a ověřte, že jmenné servery jsou nastaveny na Namecheap. Pokud jmenné servery ukazují jinam, přidejte CAA záznam u toho poskytovatele, který vaše DNS skutečně spravuje.

Nejprve zjistěte svou certifikační autoritu

Než cokoli přidáte, zjistěte, která autorita vydává váš certifikát, nebo riskujete zablokování vlastního poskytovatele. Běžné hodnoty:

• letsencrypt.org — Let’s Encrypt (většina bezplatných a automatizovaných certifikátů)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Pokud si nejste jisti, zeptejte se toho, kdo vám nastavoval hosting, nebo zkontrolujte certifikát v prohlížeči (klikněte na zámeček a zobrazte vydavatele certifikátu).

Postup na Namecheap

1. Přihlaste se do Namecheap a otevřete Domain List.
2. Klikněte na Manage u vaší domény.
3. Otevřete záložku Advanced DNS.
4. V sekci Host Records klikněte na Add New Record.
5. Nastavte Type záznamu na CAA Record.
6. Do pole Host zadejte: @ Znak @ znamená kořen vaší domény. Nezadávejte sem název domény.
7. Do pole Flag zadejte: 0
8. Do pole Tag zvolte: issue
9. Do pole Value (doména CA) zadejte identifikátor vaší certifikační autority, například: letsencrypt.org
10. TTL nechte na Automatic.
11. Klikněte na zelený fajfku pro uložení, pak na Save All Changes, pokud se zobrazí výzva.

Povolení více certifikačních autorit

Většina domén časem používá více než jednu autoritu — například dnes bezplatný certifikát a později placený, nebo jinou pro samostatnou službu. Chcete-li povolit více, přidejte samostatný CAA záznam pro každou z nich. Všechny používají stejný host @, příznak 0 a tag issue — mění se pouze hodnota:

• jeden záznam s hodnotou letsencrypt.org
• jeden záznam s hodnotou digicert.com

Dohromady říkají: obě tyto autority jsou povoleny, žádné jiné. Nekombinujte je do jednoho záznamu.

Časté chyby na Namecheap

• Největší chybou je zablokování vlastní autority. Pokud přidáte CAA záznam uvádějící pouze digicert.com, ale váš certifikát se ve skutečnosti obnovuje přes Let’s Encrypt, příští obnovení tiše selže a váš zámeček se může rozbít o týdny později. Vždy zahrňte každou autoritu, kterou skutečně používáte, než uložíte.
• Host je @, ne vaše doména. Zapsání celého názvu domény do pole Host vytvoří záznam na špatném místě. Použijte @ pro kořen.
• Flag je 0 pro normální záznam. Druhá hodnota, 128, je přísný režim — používejte ji vědomě. Pro běžné použití 0.
• Používejte holou doménu, ne URL. Hodnota je letsencrypt.org, nikdy https://letsencrypt.org ani www..
• Zvolte typ CAA, ne TXT. Namecheap má vyhrazený typ CAA Record — použijte ho místo ručního zapsání CAA do TXT záznamu.
• Dejte tomu čas. Změny DNS mohou trvat od několika minut až po pár hodin. Stávající certifikáty zůstanou funkční; CAA se kontroluje pouze při vydání nebo obnovení nového.

Ověření, že vše funguje

Po uložení a propagaci spusťte bezplatnou kontrolu na tomto webu. V srozumitelném jazyce vám řekne, zda je váš CAA záznam na místě a které autority jste povolili.

Hotovo? Zkontrolujte svou doménu zdarma a ověřte, že to fungovalo — a zobrazí se vaše úplné hodnocení ve všech 34 kontrolách.