Defaults.Exposed › Nastavení › CAA

Jak nastavit CAA záznam na AWS Route 53

Přidejte CAA záznam v AWS Route 53 a určete, které certifikační autority smějí vydávat SSL certifikáty pro vaši doménu.

Co to znamená pro vaši firmu

CAA záznam jmenuje certifikační autority (společnosti vydávající SSL/TLS certifikáty stojící za zámečkem v prohlížeči), které smějí vydat certifikát pro vaši doménu. Každá autorita dodržující pravidla musí tento záznam nejprve zkontrolovat a žádost odmítnout, pokud na seznamu není.

Jednoduše řečeno: bez CAA záznamu by mohly stovky certifikačních autorit po celém světě být oklamány nebo udělat chybu a vydat platný certifikát pro vaši doménu — který by útočník mohl použít k věrohodné imitaci vašeho webu. CAA záznam tuto mezeru uzavírá tím, že říká: pouze tyto autority, žádná jiná. Je zdarma a zabere pár minut.

Ověřte, že Route 53 spravuje vaše DNS

Toto funguje pouze tehdy, pokud Route 53 odpovídá na DNS dotazy pro vaši doménu. V Route 53 žijí záznamy v hosted zóně pro doménu, která je aktivní pouze tehdy, když jmenné servery vaší domény ukazují na čtyři Route 53 jmenné servery uvedené v zóně. Otevřete hosted zónu, zkontrolujte její NS záznam a ověřte, že tyto jmenné servery jsou nastaveny u vašeho registrátora. Pokud jmenné servery ukazují jinam, přidejte CAA záznam u toho poskytovatele, který vaše DNS skutečně spravuje.

Nejprve zjistěte svou certifikační autoritu

Než cokoli přidáte, zjistěte, která autorita vydává váš certifikát, nebo riskujete zablokování vlastního poskytovatele. Běžné hodnoty:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (většina bezplatných a automatizovaných certifikátů)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Pokud používáte AWS Certificate Manager k provisioning certifikátů, musíte povolit amazon.com, jinak ACM nebude moci vydávat. Pokud si nejste jisti, zeptejte se toho, kdo vám nastavoval hosting, nebo zkontrolujte certifikát v prohlížeči (klikněte na zámeček a zobrazte vydavatele certifikátu).

Postup na Route 53

1. Přihlaste se do AWS Management Console a otevřete Route 53.
2. V levém menu zvolte Hosted zones a vyberte svou doménu.
3. Klikněte na Create record.
4. Pole Record name nechte prázdné, aby se záznam vztahoval na kořen vaší domény (apex). Nezadávejte sem název domény.
5. Nastavte Record type na CAA.
6. Do pole Value zadejte záznam ve třídílném formátu Route 53 na jednom řádku: 0 issue "letsencrypt.org" To je příznak (0), pak tag (issue), pak certifikační autorita v dvojitých uvozovkách.
7. TTL nechte na výchozí hodnotě (300 sekund je v pořádku).
8. Pokud se zeptá, zvolte Simple routing a klikněte na Create records.

Povolení více certifikačních autorit

Většina domén časem používá více než jednu autoritu — například AWS Certificate Manager pro jednu službu a Let’s Encrypt pro jinou. V Route 53 přidáte další autority jako další řádky v poli Value stejného CAA záznamu, jeden na řádek:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Dohromady říkají: obě tyto autority jsou povoleny, žádné jiné. Každý řádek je samostatný záznam issue; nedávejte dvě autority na jeden řádek.

Časté chyby na Route 53

• Největší chybou je zablokování vlastní autority. Pokud přidáte CAA záznam uvádějící pouze digicert.com, ale váš certifikát se ve skutečnosti obnovuje přes Let’s Encrypt nebo ACM, příští obnovení tiše selže a váš zámeček se může rozbít o týdny později. Vždy zahrňte každou autoritu, kterou skutečně používáte, než uložíte.
• Povolte amazon.com pro ACM. Pokud vaše certifikáty pocházejí z AWS Certificate Manager a váš CAA záznam neobsahuje amazon.com, validace a obnovení ACM selžou. Toto je nejčastější specifická chyba Route 53.
• Uvozovky kolem CA jsou povinné. Route 53 očekává 0 issue "letsencrypt.org" s autoritou v dvojitých uvozovkách. Jejich vynechání zneplatní záznam.
• Nechte název záznamu prázdný pro kořen. Prázdný název aplikuje záznam na apex; zadání názvu domény ho vytvoří na špatném místě.
• Flags je 0 pro normální záznam. Druhá hodnota, 128, je přísný režim — používejte ji vědomě.
• Používejte holou doménu, ne URL. Hodnota je letsencrypt.org, nikdy https://letsencrypt.org ani www..
• Dejte tomu čas. Změny DNS mohou trvat od několika minut až po pár hodin. Stávající certifikáty zůstanou funkční; CAA se kontroluje pouze při vydání nebo obnovení nového.

Ověření, že vše funguje

Po uložení a propagaci spusťte bezplatnou kontrolu na tomto webu. V srozumitelném jazyce vám řekne, zda je váš CAA záznam na místě a které autority jste povolili.

Hotovo? Zkontrolujte svou doménu zdarma a ověřte, že to fungovalo — a zobrazí se vaše úplné hodnocení ve všech 34 kontrolách.