Defaults.Exposed › Opsætning › CAA

Sådan opsætter du en CAA-record på GoDaddy

Tilføj en CAA-record i GoDaddy for at styre, hvilke certifikatudstedere der må udstede SSL-certifikater til dit domæne.

Hvad det betyder for din virksomhed

En CAA-record angiver, hvilke certifikatudstedere (de virksomheder, der udsteder SSL/TLS-certifikaterne bag hængelåsen i en browser) der må udstede et certifikat til dit domæne. Enhver udsteder, der følger reglerne, skal tjekke denne record først og afvise anmodningen, hvis den ikke er på listen.

I klart sprog: uden en CAA-record kan en af hundredvis af certifikatudstedere verden over blive narret eller begå en fejl og udstede et gyldigt certifikat til dit domæne — som en angriber kan bruge til overbevisende at udgive sig for dit website. En CAA-record lukker den dør ved at sige kun disse udstedere, ingen andre. Det er gratis og tager få minutter.

Bekræft at GoDaddy kører dit DNS

Dette virker kun, hvis GoDaddy svarer på DNS for dit domæne. GoDaddy sælger domæner og hoster også DNS, men de to er adskilte — dit domænes nameservers skal pege på GoDaddy, for at records du tilføjer her er aktive. Log ind, åbn dit domæne, og bekræft at nameservers er GoDaddys egne. Peger de et andet sted hen, skal du tilføje CAA-recorden hos den udbyder, der kører dit DNS i stedet.

Kend din certifikatudsteder først

Inden du tilføjer noget, skal du finde ud af, hvilken udsteder der udsteder dit certifikat — ellers risikerer du at låse din egen udbyder ude. Almindelige værdier:

• letsencrypt.org — Let’s Encrypt (bruges af de fleste gratis og automatiserede certifikater)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Er du i tvivl, spørger du den, der satte dit hosting op, eller du tjekker certifikatet i din browser (klik på hængelåsen, og vis derefter certifikatets udsteder).

Trin for trin på GoDaddy

1. Log ind på GoDaddy, og åbn Domain Portfolio (eller My Products).
2. Find dit domæne, og åbn dets DNS-administrationsside (kig efter DNS eller Manage DNS).
3. Klik Add (eller Add New Record) under records-listen.
4. Sæt Type til CAA.
5. I feltet Name (eller Host) skriver du: @ @ betyder roden af dit domæne. Skriv ikke dit domænenavn her.
6. Sæt Flags til: 0
7. Sæt Tag til: issue
8. I feltet Value skriver du din certifikatudsteders identifikator, f.eks.: letsencrypt.org
9. Lad TTL stå på standard (1 time er fint).
10. Klik Save.

Tilladelse til mere end én certifikatudsteder

De fleste domæner bruger mere end én udsteder over tid — f.eks. et gratis certifikat i dag og et betalt senere, eller et andet til en separat tjeneste. For at tillade flere skal du tilføje en separat CAA-record for hver enkelt. De bruger alle det samme @-navn, 0-flags og issue-tag — kun værdien ændrer sig:

• én record med værdien letsencrypt.org
• én record med værdien digicert.com

Tilsammen siger de begge disse udstedere er tilladt, ingen andre. Du kombinerer dem ikke i én record.

Fælder folk typisk falder i på GoDaddy

• Den største fejl er at låse din egen udsteder ude. Tilføjer du en CAA-record, der kun lister digicert.com, mens dit certifikat rent faktisk fornyes via Let’s Encrypt, vil den næste fornyelse fejle lydløst, og din hængelås kan gå i stykker uger senere. Inkluder altid alle udstedere, du faktisk bruger, inden du gemmer.
• Name er @, ikke dit domæne. Skriver du dit fulde domænenavn i Name-feltet, placeres recorden forkert. Brug @ for roden.
• Flags er 0 for en normal record. Den anden værdi, 128, er en streng tilstand, der får en ikke-compliant udsteder til at afvise direkte — brug den kun bevidst. Til normal brug: 0.
• Brug det bare domæne, ikke en URL. Værdien er letsencrypt.org, aldrig https://letsencrypt.org og aldrig www..
• Tilføj ikke dine egne anførselstegn. Skriv den rå værdi; GoDaddy håndterer selv eventuelle anførselstegn.
• Giv det tid. DNS-ændringer kan tage fra få minutter op til et par timer at slå igennem. Eksisterende certifikater fortsætter med at virke; CAA tjekkes kun, når et nyt udstedes eller fornyes.

Verificer at det virkede

Når recorden er gemt og propageret, kan du køre den gratis kontrol på dette site. Den fortæller dig på klart sprog, om din CAA-record er på plads, og hvilke udstedere du har tilladt.

Færdig? Tjek dit domæne gratis for at bekræfte, at det virkede — og se din fulde karakter på tværs af alle 34 kontroller.