Defaults.Exposed › Ρύθμιση › CAA

Πώς να ρυθμίσετε μια εγγραφή CAA στο Cloudflare

Προσθέστε μια εγγραφή CAA στο Cloudflare για να ελέγξετε ποιες αρχές πιστοποίησης επιτρέπεται να εκδίδουν SSL certificates για τον τομέα σας.

Γιατί αυτό έχει σημασία για την επιχείρησή σας

Μια εγγραφή CAA ονομάζει ποιες αρχές πιστοποίησης (οι εταιρείες που εκδίδουν τα SSL/TLS certificates πίσω από το λουκέτο του προγράμματος περιήγησης) επιτρέπεται να εκδώσουν certificate για τον τομέα σας. Κάθε αρχή που ακολουθεί τους κανόνες πρέπει να ελέγξει πρώτα αυτή την εγγραφή και να αρνηθεί το αίτημα αν δεν βρίσκεται στη λίστα.

Με απλά λόγια: χωρίς εγγραφή CAA, οποιαδήποτε από τις εκατοντάδες αρχές πιστοποίησης παγκοσμίως θα μπορούσε να εξαπατηθεί ή να κάνει λάθος και να δώσει σε κάποιον ένα έγκυρο certificate για τον τομέα σας — το οποίο ένας εισβολέας θα μπορούσε να χρησιμοποιήσει για να υποδυθεί πειστικά την ιστοσελίδα σας. Μια εγγραφή CAA κλείνει αυτή την πόρτα λέγοντας μόνο αυτές οι αρχές, κανείς άλλος. Είναι δωρεάν και χρειάζεται μερικά λεπτά.

Επιβεβαιώστε ότι το Cloudflare διαχειρίζεται το DNS σας

Αυτό λειτουργεί μόνο αν το Cloudflare απαντά στα DNS ερωτήματα για τον τομέα σας. Το Cloudflare είναι ο DNS host σας, και το DNS του είναι ενεργό μόνο όταν οι nameservers του τομέα σας δείχνουν στους nameservers του Cloudflare που εμφανίζονται στον πίνακα ελέγχου σας. Ανοίξτε τον τομέα στο Cloudflare και ελέγξτε τη σελίδα Overview για να επιβεβαιώσετε ότι το Cloudflare είναι ενεργό. Αν οι nameservers σας δείχνουν αλλού, προσθέστε την εγγραφή CAA στον παροχό που διαχειρίζεται το DNS σας.

Μάθετε πρώτα ποια είναι η αρχή πιστοποίησής σας

Πριν προσθέσετε οτιδήποτε, μάθετε ποια αρχή εκδίδει το certificate σας, διαφορετικά κινδυνεύετε να αποκλείσετε τον δικό σας παροχό. Συνηθισμένες τιμές:

• letsencrypt.org — Let’s Encrypt (χρησιμοποιείται στα περισσότερα δωρεάν και αυτοματοποιημένα certificates)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Σημείωση για το Cloudflare: αν χρησιμοποιείτε το ίδιο το SSL του Cloudflare (η proxied ρύθμιση με orange cloud), το Cloudflare εκδίδει certificates μέσω αρκετών αρχών για λογαριασμό σας — βεβαιωθείτε ότι τυχόν εγγραφή CAA που προσθέτετε εξακολουθεί να επιτρέπει αυτές, ή αφήστε το Cloudflare να διαχειρίζεται το CAA για εσάς. Αν δεν είστε σίγουροι, ρωτήστε αυτόν που ρύθμισε το hosting σας, ή ελέγξτε το certificate στο πρόγραμμα περιήγησης.

Βήμα προς βήμα στο Cloudflare

1. Συνδεθείτε στο Cloudflare και επιλέξτε τον τομέα σας.
2. Στο αριστερό μενού, μεταβείτε στις ρυθμίσεις DNS (αναζητήστε DNS / Records).
3. Κάντε κλικ στο Add record.
4. Ορίστε τον Type σε CAA.
5. Στο πεδίο Name, εισάγετε: @ Το @ σημαίνει τη ρίζα του τομέα σας. Το Cloudflare προσαρτά τον τομέα αυτόματα, οπότε μην πληκτρολογήσετε το όνομα τομέα σας μετά.
6. Το Cloudflare εμφανίζει τα πεδία CAA ως φιλικά μενού. Ορίστε τα ως εξής:
   • Flags: 0
   • Tag: επιλέξτε Only allow specific hostnames (αυτό είναι το tag issue)
   • CA domain name (η τιμή): letsencrypt.org
7. Αφήστε το TTL στο Auto.
8. Κάντε κλικ στο Save.

Αποδοχή περισσότερων από μία αρχών πιστοποίησης

Οι περισσότεροι τομείς χρησιμοποιούν περισσότερες από μία αρχές με την πάροδο του χρόνου — για παράδειγμα, ένα δωρεάν certificate σήμερα και ένα επί πληρωμή αργότερα, ή διαφορετική αρχή για χωριστή υπηρεσία. Για να αποδεχτείτε αρκετές, προσθέστε χωριστή εγγραφή CAA για κάθε μία. Όλες χρησιμοποιούν το ίδιο @ name, 0 flags, και issue tag — αλλάζει μόνο η τιμή CA domain:

• μία εγγραφή με τιμή letsencrypt.org
• μία εγγραφή με τιμή digicert.com

Μαζί αυτές λένε και οι δύο αυτές αρχές επιτρέπονται, καμία άλλη. Δεν τις συνδυάζετε σε μία εγγραφή.

Συνηθισμένα λάθη στο Cloudflare

• Το μεγαλύτερο λάθος είναι να αποκλείσετε τη δική σας αρχή. Αν προσθέσετε εγγραφή CAA που αναφέρει μόνο digicert.com αλλά το certificate σας ανανεώνεται στην πράξη μέσω Let’s Encrypt, η επόμενη ανανέωση θα αποτύχει αθόρυβα και το λουκέτο σας μπορεί να σπάσει εβδομάδες αργότερα. Συμπεριλάβετε πάντα κάθε αρχή που πραγματικά χρησιμοποιείτε πριν αποθηκεύσετε.
• Προσοχή στο ίδιο SSL του Cloudflare. Αν η κίνησή σας περνά από το Cloudflare (orange cloud), το Cloudflare πρέπει να μπορεί να λαμβάνει edge certificates. Η προσθήκη εγγραφής CAA που αποκλείει τις αρχές που χρησιμοποιεί το Cloudflare μπορεί να το σπάσει — σε περίπτωση αμφιβολίας, επιτρέψτε τα Let’s Encrypt και Google Trust Services (pki.goog) παράλληλα με τα δικά σας, ή αφήστε το CAA στο Cloudflare.
• Το Name είναι @, όχι ο τομέας σας. Χρησιμοποιήστε @ για τη ρίζα· το Cloudflare προσθέτει τον τομέα μόνο του.
• Η ονοματολογία tag διαφέρει. Το Cloudflare αποκαλεί το tag issue ως Only allow specific hostnames στο μενού του. Αυτή είναι η σωστή επιλογή για κανονική χρήση.
• Τα Flags είναι 0 για κανονική εγγραφή. Η άλλη τιμή, 128, είναι αυστηρή λειτουργία — χρησιμοποιήστε την μόνο σκόπιμα.
• Χρησιμοποιήστε τον bare τομέα, όχι URL. Η τιμή είναι letsencrypt.org, ποτέ https://letsencrypt.org και ποτέ www..
• Χωρίς proxy σε εγγραφή CAA. Το CAA είναι αμιγής εγγραφή DNS — δεν υπάρχει εδώ κουμπί εναλλαγής πορτοκαλί/γκρι cloud.
• Δώστε χρόνο. Οι αλλαγές DNS μπορεί να χρειαστούν μερικά λεπτά έως μερικές ώρες για να ενεργοποιηθούν. Τα υπάρχοντα certificates συνεχίζουν να λειτουργούν· το CAA ελέγχεται μόνο όταν εκδίδεται ή ανανεώνεται νέο.

Επαληθεύστε ότι λειτουργεί

Μόλις αποθηκευτεί και διαδοθεί, εκτελέστε τον δωρεάν έλεγχο σε αυτό το site. Θα σας πει με απλά λόγια αν η εγγραφή CAA είναι στη θέση της και ποιες αρχές έχετε επιτρέψει.

Έγινε; Ελέγξτε το domain σας δωρεάν για να επιβεβαιώσετε ότι λειτούργησε — και δείτε τον πλήρη βαθμό σας σε όλους τους 34 ελέγχους.