Defaults.Exposed › Opsætning › CAA

Sådan opsætter du en CAA-record på Namecheap

Tilføj en CAA-record i Namecheap for at styre, hvilke certifikatudstedere der må udstede SSL-certifikater til dit domæne.

Hvad det betyder for din virksomhed

En CAA-record angiver, hvilke certifikatudstedere (de virksomheder, der udsteder SSL/TLS-certifikaterne bag hængelåsen i en browser) der må udstede et certifikat til dit domæne. Enhver udsteder, der følger reglerne, skal tjekke denne record først og afvise anmodningen, hvis den ikke er på listen.

I klart sprog: uden en CAA-record kan en af hundredvis af certifikatudstedere verden over blive narret eller begå en fejl og udstede et gyldigt certifikat til dit domæne — som en angriber kan bruge til overbevisende at udgive sig for dit website. En CAA-record lukker den dør ved at sige kun disse udstedere, ingen andre. Det er gratis og tager få minutter.

Bekræft at Namecheap kører dit DNS

Dette virker kun, hvis Namecheap svarer på DNS for dit domæne. Records nedenfor tilføjes i Advanced DNS, som kun er aktiv, når dit domæne bruger Namecheap BasicDNS (eller PremiumDNS). Log ind, åbn Domain List, klik Manage på dit domæne, og bekræft at nameservers er sat til Namecheap. Peger dine nameservers et andet sted hen, skal du tilføje CAA-recorden hos den pågældende udbyder i stedet.

Kend din certifikatudsteder først

Inden du tilføjer noget, skal du finde ud af, hvilken udsteder der udsteder dit certifikat — ellers risikerer du at låse din egen udbyder ude. Almindelige værdier:

• letsencrypt.org — Let’s Encrypt (bruges af de fleste gratis og automatiserede certifikater)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Er du i tvivl, spørger du den, der satte dit hosting op, eller du tjekker certifikatet i din browser (klik på hængelåsen, og vis derefter certifikatets udsteder).

Trin for trin på Namecheap

1. Log ind på Namecheap, og åbn Domain List.
2. Klik Manage ud for dit domæne.
3. Åbn fanen Advanced DNS.
4. Klik Add New Record under Host Records.
5. Sæt recordens Type til CAA Record.
6. I feltet Host skriver du: @ @ betyder roden af dit domæne. Skriv ikke dit domænenavn her.
7. I feltet Flag skriver du: 0
8. I feltet Tag vælger du: issue
9. I feltet Value (CA domain) skriver du din certifikatudsteders identifikator, f.eks.: letsencrypt.org
10. Lad TTL stå på Automatic.
11. Klik det grønne flueben for at gemme, og klik derefter Save All Changes, hvis det anmodes om det.

Tilladelse til mere end én certifikatudsteder

De fleste domæner bruger mere end én udsteder over tid — f.eks. et gratis certifikat i dag og et betalt senere, eller et andet til en separat tjeneste. For at tillade flere skal du tilføje en separat CAA-record for hver enkelt. De bruger alle det samme @-host, 0-flag og issue-tag — kun værdien ændrer sig:

• én record med værdien letsencrypt.org
• én record med værdien digicert.com

Tilsammen siger de begge disse udstedere er tilladt, ingen andre. Du kombinerer dem ikke i én record.

Fælder folk typisk falder i på Namecheap

• Den største fejl er at låse din egen udsteder ude. Tilføjer du en CAA-record, der kun lister digicert.com, mens dit certifikat rent faktisk fornyes via Let’s Encrypt, vil den næste fornyelse fejle lydløst, og din hængelås kan gå i stykker uger senere. Inkluder altid alle udstedere, du faktisk bruger, inden du gemmer.
• Host er @, ikke dit domæne. Skriver du dit fulde domænenavn i Host-feltet, placeres recorden forkert. Brug @ for roden.
• Flag er 0 for en normal record. Den anden værdi, 128, er en streng tilstand, der får en ikke-compliant udsteder til at afvise direkte — brug den kun bevidst. Til normal brug: 0.
• Brug det bare domæne, ikke en URL. Værdien er letsencrypt.org, aldrig https://letsencrypt.org og aldrig www..
• Vælg CAA-typen, ikke TXT. Namecheap har en dedikeret CAA Record-type — brug den i stedet for at forsøge at skrive en CAA manuelt i en TXT-record.
• Giv det tid. DNS-ændringer kan tage fra få minutter op til et par timer at slå igennem. Eksisterende certifikater fortsætter med at virke; CAA tjekkes kun, når et nyt udstedes eller fornyes.

Verificer at det virkede

Når recorden er gemt og propageret, kan du køre den gratis kontrol på dette site. Den fortæller dig på klart sprog, om din CAA-record er på plads, og hvilke udstedere du har tilladt.

Færdig? Tjek dit domæne gratis for at bekræfte, at det virkede — og se din fulde karakter på tværs af alle 34 kontroller.