Defaults.Exposed › Ρύθμιση › CAA

Πώς να ρυθμίσετε μια εγγραφή CAA στο GoDaddy

Προσθέστε μια εγγραφή CAA στο GoDaddy για να ελέγξετε ποιες αρχές πιστοποίησης επιτρέπεται να εκδίδουν SSL certificates για τον τομέα σας.

Γιατί αυτό έχει σημασία για την επιχείρησή σας

Μια εγγραφή CAA ονομάζει ποιες αρχές πιστοποίησης (οι εταιρείες που εκδίδουν τα SSL/TLS certificates πίσω από το λουκέτο του προγράμματος περιήγησης) επιτρέπεται να εκδώσουν certificate για τον τομέα σας. Κάθε αρχή που ακολουθεί τους κανόνες πρέπει να ελέγξει πρώτα αυτή την εγγραφή και να αρνηθεί το αίτημα αν δεν βρίσκεται στη λίστα.

Με απλά λόγια: χωρίς εγγραφή CAA, οποιαδήποτε από τις εκατοντάδες αρχές πιστοποίησης παγκοσμίως θα μπορούσε να εξαπατηθεί ή να κάνει λάθος και να δώσει σε κάποιον ένα έγκυρο certificate για τον τομέα σας — το οποίο ένας εισβολέας θα μπορούσε να χρησιμοποιήσει για να υποδυθεί πειστικά την ιστοσελίδα σας. Μια εγγραφή CAA κλείνει αυτή την πόρτα λέγοντας μόνο αυτές οι αρχές, κανείς άλλος. Είναι δωρεάν και χρειάζεται μερικά λεπτά.

Επιβεβαιώστε ότι το GoDaddy διαχειρίζεται το DNS σας

Αυτό λειτουργεί μόνο αν το GoDaddy απαντά στα DNS ερωτήματα για τον τομέα σας. Το GoDaddy πωλεί τομείς και φιλοξενεί DNS, αλλά τα δύο είναι χωριστά — οι nameservers του τομέα σας πρέπει να δείχνουν στο GoDaddy για να είναι ενεργές οι εγγραφές που προσθέτετε εδώ. Συνδεθείτε, ανοίξτε τον τομέα σας, και επιβεβαιώστε ότι οι nameservers είναι του GoDaddy. Αν δείχνουν αλλού, προσθέστε την εγγραφή CAA στον παροχό που διαχειρίζεται το DNS σας.

Μάθετε πρώτα ποια είναι η αρχή πιστοποίησής σας

Πριν προσθέσετε οτιδήποτε, μάθετε ποια αρχή εκδίδει το certificate σας, διαφορετικά κινδυνεύετε να αποκλείσετε τον δικό σας παροχό. Συνηθισμένες τιμές:

• letsencrypt.org — Let’s Encrypt (χρησιμοποιείται στα περισσότερα δωρεάν και αυτοματοποιημένα certificates)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Αν δεν είστε σίγουροι, ρωτήστε αυτόν που ρύθμισε το hosting σας, ή ελέγξτε το certificate στο πρόγραμμα περιήγησης (κάντε κλικ στο λουκέτο, μετά δείτε τον εκδότη του certificate).

Βήμα προς βήμα στο GoDaddy

1. Συνδεθείτε στο GoDaddy και ανοίξτε το Domain Portfolio (ή My Products).
2. Βρείτε τον τομέα σας και ανοίξτε τη σελίδα διαχείρισης DNS (αναζητήστε DNS ή Manage DNS).
3. Κάτω από τη λίστα εγγραφών, κάντε κλικ στο Add (ή Add New Record).
4. Ορίστε τον Type σε CAA.
5. Στο πεδίο Name (ή Host), εισάγετε: @ Το @ σημαίνει τη ρίζα του τομέα σας. Μην πληκτρολογήσετε το όνομα τομέα σας εδώ.
6. Ορίστε τα Flags σε: 0
7. Ορίστε τα Tag σε: issue
8. Στο πεδίο Value, εισάγετε το αναγνωριστικό της αρχής πιστοποίησής σας, για παράδειγμα: letsencrypt.org
9. Αφήστε το TTL στην προεπιλογή (1 ώρα είναι εντάξει).
10. Κάντε κλικ στο Save.

Αποδοχή περισσότερων από μία αρχών πιστοποίησης

Οι περισσότεροι τομείς χρησιμοποιούν περισσότερες από μία αρχές με την πάροδο του χρόνου — για παράδειγμα, ένα δωρεάν certificate σήμερα και ένα επί πληρωμή αργότερα, ή διαφορετική αρχή για χωριστή υπηρεσία. Για να αποδεχτείτε αρκετές, προσθέστε χωριστή εγγραφή CAA για κάθε μία. Όλες χρησιμοποιούν το ίδιο @ name, 0 flags, και issue tag — αλλάζει μόνο η τιμή:

• μία εγγραφή με τιμή letsencrypt.org
• μία εγγραφή με τιμή digicert.com

Μαζί αυτές λένε και οι δύο αυτές αρχές επιτρέπονται, καμία άλλη. Δεν τις συνδυάζετε σε μία εγγραφή.

Συνηθισμένα λάθη στο GoDaddy

• Το μεγαλύτερο λάθος είναι να αποκλείσετε τη δική σας αρχή. Αν προσθέσετε εγγραφή CAA που αναφέρει μόνο digicert.com αλλά το certificate σας ανανεώνεται στην πράξη μέσω Let’s Encrypt, η επόμενη ανανέωση θα αποτύχει αθόρυβα και το λουκέτο σας μπορεί να σπάσει εβδομάδες αργότερα. Συμπεριλάβετε πάντα κάθε αρχή που πραγματικά χρησιμοποιείτε πριν αποθηκεύσετε.
• Το Name είναι @, όχι ο τομέας σας. Η πληκτρολόγηση του πλήρους ονόματος τομέα στο πεδίο Name δημιουργεί την εγγραφή στο λάθος σημείο. Χρησιμοποιήστε @ για τη ρίζα.
• Τα Flags είναι 0 για κανονική εγγραφή. Η άλλη τιμή, 128, είναι αυστηρή λειτουργία που κάνει μη συμμορφούμενη αρχή να αρνείται εντελώς — χρησιμοποιήστε την μόνο σκόπιμα. Για κανονική χρήση, 0.
• Χρησιμοποιήστε τον bare τομέα, όχι URL. Η τιμή είναι letsencrypt.org, ποτέ https://letsencrypt.org και ποτέ www..
• Μην προσθέσετε τα δικά σας εισαγωγικά. Εισάγετε την τιμή απλή· το GoDaddy χειρίζεται τυχόν εισαγωγικά μόνο του.
• Δώστε χρόνο. Οι αλλαγές DNS μπορεί να χρειαστούν μερικά λεπτά έως μερικές ώρες για να ενεργοποιηθούν. Τα υπάρχοντα certificates συνεχίζουν να λειτουργούν· το CAA ελέγχεται μόνο όταν εκδίδεται ή ανανεώνεται νέο.

Επαληθεύστε ότι λειτουργεί

Μόλις αποθηκευτεί και διαδοθεί, εκτελέστε τον δωρεάν έλεγχο σε αυτό το site. Θα σας πει με απλά λόγια αν η εγγραφή CAA είναι στη θέση της και ποιες αρχές έχετε επιτρέψει.

Έγινε; Ελέγξτε το domain σας δωρεάν για να επιβεβαιώσετε ότι λειτούργησε — και δείτε τον πλήρη βαθμό σας σε όλους τους 34 ελέγχους.