Defaults.Exposed › Opsætning › CAA

Sådan opsætter du en CAA-record på AWS Route 53

Tilføj en CAA-record i AWS Route 53 for at styre, hvilke certifikatudstedere der må udstede SSL-certifikater til dit domæne.

Hvad det betyder for din virksomhed

En CAA-record angiver, hvilke certifikatudstedere (de virksomheder, der udsteder SSL/TLS-certifikaterne bag hængelåsen i en browser) der må udstede et certifikat til dit domæne. Enhver udsteder, der følger reglerne, skal tjekke denne record først og afvise anmodningen, hvis den ikke er på listen.

I klart sprog: uden en CAA-record kan en af hundredvis af certifikatudstedere verden over blive narret eller begå en fejl og udstede et gyldigt certifikat til dit domæne — som en angriber kan bruge til overbevisende at udgive sig for dit website. En CAA-record lukker den dør ved at sige kun disse udstedere, ingen andre. Det er gratis og tager få minutter.

Bekræft at Route 53 kører dit DNS

Dette virker kun, hvis Route 53 svarer på DNS for dit domæne. I Route 53 ligger dine records i en hosted zone for domænet, og den zone er kun aktiv, når dit domænes nameservers peger på de fire Route 53-nameservers, der er listet i zonen. Åbn hosted zone, tjek dens NS-record, og bekræft at disse nameservers er sat hos din registrar. Peger dine nameservers et andet sted hen, skal du tilføje CAA-recorden hos den pågældende udbyder i stedet.

Kend din certifikatudsteder først

Inden du tilføjer noget, skal du finde ud af, hvilken udsteder der udsteder dit certifikat — ellers risikerer du at låse din egen udbyder ude. Almindelige værdier:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (bruges af de fleste gratis og automatiserede certifikater)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Bruger du AWS Certificate Manager til at klargøre certifikater, skal du tillade amazon.com, ellers kan ACM ikke udstede. Er du i tvivl, spørger du den, der satte dit hosting op, eller du tjekker certifikatet i din browser (klik på hængelåsen, og vis derefter certifikatets udsteder).

Trin for trin på Route 53

1. Log ind på AWS Management Console, og åbn Route 53.
2. Vælg Hosted zones i menuen til venstre, og vælg dit domæne.
3. Klik Create record.
4. Lad feltet Record name stå tomt for at anvende recorden på roden af dit domæne (apex). Skriv ikke dit domænenavn her.
5. Sæt Record type til CAA.
6. I feltet Value skriver du recorden i Route 53’s tre-delte format på én linje: 0 issue "letsencrypt.org" Det er flags (0), derefter tagget (issue), derefter certifikatudstederen i dobbelte anførselstegn.
7. Lad TTL stå på standard (300 sekunder er fint).
8. Vælg Simple routing, hvis du bliver spurgt, og klik derefter Create records.

Tilladelse til mere end én certifikatudsteder

De fleste domæner bruger mere end én udsteder over tid — f.eks. AWS Certificate Manager til én tjeneste og Let’s Encrypt til en anden. I Route 53 tilføjer du de ekstra udstedere som ekstra linjer i den samme CAA-records Value-felt, én per linje:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Tilsammen siger de begge disse udstedere er tilladt, ingen andre. Hver linje er en separat issue-post; du skriver ikke to udstedere på samme linje.

Fælder folk typisk falder i på Route 53

• Den største fejl er at låse din egen udsteder ude. Tilføjer du en CAA-record, der kun lister digicert.com, mens dit certifikat rent faktisk fornyes via Let’s Encrypt eller ACM, vil den næste fornyelse fejle lydløst, og din hængelås kan gå i stykker uger senere. Inkluder altid alle udstedere, du faktisk bruger, inden du gemmer.
• Tillad amazon.com for ACM. Kommer dine certifikater fra AWS Certificate Manager, og inkluderer din CAA-record ikke amazon.com, vil ACM-validering og -fornyelse fejle. Det er den hyppigste Route 53-specifikke faldgrube.
• Anførselstegnene omkring CA er påkrævede. Route 53 forventer 0 issue "letsencrypt.org" med udstederen i dobbelte anførselstegn. Udelader du dem, er recorden ugyldig.
• Lad record name stå tomt for roden. Et tomt navn placerer recorden ved apex; skriver du domænenavnet der, placeres den forkert.
• Flags er 0 for en normal record. Den anden værdi, 128, er en streng tilstand — brug den kun bevidst.
• Brug det bare domæne, ikke en URL. Værdien er letsencrypt.org, aldrig https://letsencrypt.org og aldrig www..
• Giv det tid. DNS-ændringer kan tage fra få minutter op til et par timer at slå igennem. Eksisterende certifikater fortsætter med at virke; CAA tjekkes kun, når et nyt udstedes eller fornyes.

Verificer at det virkede

Når recorden er gemt og propageret, kan du køre den gratis kontrol på dette site. Den fortæller dig på klart sprog, om din CAA-record er på plads, og hvilke udstedere du har tilladt.

Færdig? Tjek dit domæne gratis for at bekræfte, at det virkede — og se din fulde karakter på tværs af alle 34 kontroller.