Defaults.Exposed › Opsætning › CAA

Sådan opsætter du en CAA-record på Cloudflare

Tilføj en CAA-record i Cloudflare for at styre, hvilke certifikatudstedere der må udstede SSL-certifikater til dit domæne.

Hvad det betyder for din virksomhed

En CAA-record angiver, hvilke certifikatudstedere (de virksomheder, der udsteder SSL/TLS-certifikaterne bag hængelåsen i en browser) der må udstede et certifikat til dit domæne. Enhver udsteder, der følger reglerne, skal tjekke denne record først og afvise anmodningen, hvis den ikke er på listen.

I klart sprog: uden en CAA-record kan en af hundredvis af certifikatudstedere verden over blive narret eller begå en fejl og udstede et gyldigt certifikat til dit domæne — som en angriber kan bruge til overbevisende at udgive sig for dit website. En CAA-record lukker den dør ved at sige kun disse udstedere, ingen andre. Det er gratis og tager få minutter.

Bekræft at Cloudflare kører dit DNS

Dette virker kun, hvis Cloudflare svarer på DNS for dit domæne. Cloudflare er din DNS-host, og Cloudflares DNS er kun aktiv, når dit domænes nameservers peger på de Cloudflare-nameservers, der vises i dit dashboard. Åbn dit domæne i Cloudflare, og tjek siden Overview for at bekræfte, at Cloudflare er aktivt. Peger dine nameservers et andet sted hen, skal du tilføje CAA-recorden hos den pågældende udbyder i stedet.

Kend din certifikatudsteder først

Inden du tilføjer noget, skal du finde ud af, hvilken udsteder der udsteder dit certifikat — ellers risikerer du at låse din egen udbyder ude. Almindelige værdier:

• letsencrypt.org — Let’s Encrypt (bruges af de fleste gratis og automatiserede certifikater)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

En note om Cloudflare: bruger du Cloudflares eget SSL (den proxiede orange-sky-opsætning), udsteder Cloudflare certifikater via flere udstedere på dine vegne — så sørg for, at en CAA-record du tilføjer stadig tillader disse, eller lad Cloudflare administrere CAA for dig. Er du i tvivl, spørger du den, der satte dit hosting op, eller du tjekker certifikatet i din browser (klik på hængelåsen, og vis derefter certifikatets udsteder).

Trin for trin på Cloudflare

1. Log ind på Cloudflare, og vælg dit domæne.
2. Gå til DNS / Records i menuen til venstre.
3. Klik Add record.
4. Sæt Type til CAA.
5. I feltet Name skriver du: @ @ betyder roden af dit domæne. Cloudflare tilføjer domænet selv, så skriv ikke dit domænenavn bagefter.
6. Cloudflare viser CAA-felterne som brugervenlige menuer. Sæt dem som følger:
   • Flags: 0
   • Tag: vælg Only allow specific hostnames (dette er issue-tagget)
   • CA domain name (værdien): letsencrypt.org
7. Lad TTL stå på Auto.
8. Klik Save.

Tilladelse til mere end én certifikatudsteder

De fleste domæner bruger mere end én udsteder over tid — f.eks. et gratis certifikat i dag og et betalt senere, eller et andet til en separat tjeneste. For at tillade flere skal du tilføje en separat CAA-record for hver enkelt. De bruger alle det samme @-navn, 0-flags og issue-tag — kun CA-domæneværdien ændrer sig:

• én record med værdien letsencrypt.org
• én record med værdien digicert.com

Tilsammen siger de begge disse udstedere er tilladt, ingen andre. Du kombinerer dem ikke i én record.

Fælder folk typisk falder i på Cloudflare

• Den største fejl er at låse din egen udsteder ude. Tilføjer du en CAA-record, der kun lister digicert.com, mens dit certifikat rent faktisk fornyes via Let’s Encrypt, vil den næste fornyelse fejle lydløst, og din hængelås kan gå i stykker uger senere. Inkluder altid alle udstedere, du faktisk bruger, inden du gemmer.
• Pas på Cloudflares eget SSL. Kører din trafik via Cloudflare (orange sky), skal Cloudflare kunne hente edge-certifikater. En CAA-record, der udelukker de udstedere Cloudflare bruger, kan bryde dette — er du i tvivl, tillader du Let’s Encrypt og Google Trust Services (pki.goog) ud over dine egne, eller overlader du CAA til Cloudflare.
• Name er @, ikke dit domæne. Brug @ for roden; Cloudflare tilføjer domænet selv.
• Tagbetegnelsen er anderledes. Cloudflare kalder issue-tagget Only allow specific hostnames i sin menu. Det er det rigtige valg til normal brug.
• Flags er 0 for en normal record. Den anden værdi, 128, er en streng tilstand — brug den kun bevidst.
• Brug det bare domæne, ikke en URL. Værdien er letsencrypt.org, aldrig https://letsencrypt.org og aldrig www..
• Ingen proxy på en CAA-record. CAA er en ren DNS-record — der er ingen orange/grå sky-toggle at bekymre sig om her.
• Giv det tid. DNS-ændringer kan tage fra få minutter op til et par timer at slå igennem. Eksisterende certifikater fortsætter med at virke; CAA tjekkes kun, når et nyt udstedes eller fornyes.

Verificer at det virkede

Når recorden er gemt og propageret, kan du køre den gratis kontrol på dette site. Den fortæller dig på klart sprog, om din CAA-record er på plads, og hvilke udstedere du har tilladt.

Færdig? Tjek dit domæne gratis for at bekræfte, at det virkede — og se din fulde karakter på tværs af alle 34 kontroller.