Defaults.Exposed › Ρύθμιση › CAA

Πώς να ρυθμίσετε μια εγγραφή CAA στο Namecheap

Προσθέστε μια εγγραφή CAA στο Namecheap για να ελέγξετε ποιες αρχές πιστοποίησης επιτρέπεται να εκδίδουν SSL certificates για τον τομέα σας.

Γιατί αυτό έχει σημασία για την επιχείρησή σας

Μια εγγραφή CAA ονομάζει ποιες αρχές πιστοποίησης (οι εταιρείες που εκδίδουν τα SSL/TLS certificates πίσω από το λουκέτο του προγράμματος περιήγησης) επιτρέπεται να εκδώσουν certificate για τον τομέα σας. Κάθε αρχή που ακολουθεί τους κανόνες πρέπει να ελέγξει πρώτα αυτή την εγγραφή και να αρνηθεί το αίτημα αν δεν βρίσκεται στη λίστα.

Με απλά λόγια: χωρίς εγγραφή CAA, οποιαδήποτε από τις εκατοντάδες αρχές πιστοποίησης παγκοσμίως θα μπορούσε να εξαπατηθεί ή να κάνει λάθος και να δώσει σε κάποιον ένα έγκυρο certificate για τον τομέα σας — το οποίο ένας εισβολέας θα μπορούσε να χρησιμοποιήσει για να υποδυθεί πειστικά την ιστοσελίδα σας. Μια εγγραφή CAA κλείνει αυτή την πόρτα λέγοντας μόνο αυτές οι αρχές, κανείς άλλος. Είναι δωρεάν και χρειάζεται μερικά λεπτά.

Επιβεβαιώστε ότι το Namecheap διαχειρίζεται το DNS σας

Αυτό λειτουργεί μόνο αν το Namecheap απαντά στα DNS ερωτήματα για τον τομέα σας. Οι εγγραφές παρακάτω πηγαίνουν στο Advanced DNS, που είναι ενεργό μόνο όταν ο τομέας σας χρησιμοποιεί Namecheap BasicDNS (ή PremiumDNS). Συνδεθείτε, ανοίξτε Domain List, κάντε κλικ στο Manage στον τομέα σας, και επιβεβαιώστε ότι οι nameservers είναι ορισμένοι στο Namecheap. Αν οι nameservers σας δείχνουν αλλού, προσθέστε την εγγραφή CAA στον παροχό που διαχειρίζεται το DNS σας.

Μάθετε πρώτα ποια είναι η αρχή πιστοποίησής σας

Πριν προσθέσετε οτιδήποτε, μάθετε ποια αρχή εκδίδει το certificate σας, διαφορετικά κινδυνεύετε να αποκλείσετε τον δικό σας παροχό. Συνηθισμένες τιμές:

• letsencrypt.org — Let’s Encrypt (χρησιμοποιείται στα περισσότερα δωρεάν και αυτοματοποιημένα certificates)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Αν δεν είστε σίγουροι, ρωτήστε αυτόν που ρύθμισε το hosting σας, ή ελέγξτε το certificate στο πρόγραμμα περιήγησης (κάντε κλικ στο λουκέτο, μετά δείτε τον εκδότη του certificate).

Βήμα προς βήμα στο Namecheap

1. Συνδεθείτε στο Namecheap και ανοίξτε τη Domain List.
2. Κάντε κλικ στο Manage δίπλα στον τομέα σας.
3. Ανοίξτε την καρτέλα Advanced DNS.
4. Κάτω από τα Host Records, κάντε κλικ στο Add New Record.
5. Ορίστε τον Type εγγραφής σε CAA Record.
6. Στο πεδίο Host, εισάγετε: @ Το @ σημαίνει τη ρίζα του τομέα σας. Μην πληκτρολογήσετε το όνομα τομέα σας εδώ.
7. Στο πεδίο Flag, εισάγετε: 0
8. Στο πεδίο Tag, επιλέξτε: issue
9. Στο πεδίο Value (CA domain), εισάγετε το αναγνωριστικό της αρχής πιστοποίησής σας, για παράδειγμα: letsencrypt.org
10. Αφήστε το TTL στο Automatic.
11. Κάντε κλικ στο πράσινο τικ για αποθήκευση, μετά Save All Changes αν σας ζητηθεί.

Αποδοχή περισσότερων από μία αρχών πιστοποίησης

Οι περισσότεροι τομείς χρησιμοποιούν περισσότερες από μία αρχές με την πάροδο του χρόνου — για παράδειγμα, ένα δωρεάν certificate σήμερα και ένα επί πληρωμή αργότερα, ή διαφορετική αρχή για χωριστή υπηρεσία. Για να αποδεχτείτε αρκετές, προσθέστε χωριστή εγγραφή CAA για κάθε μία. Όλες χρησιμοποιούν το ίδιο @ host, 0 flag, και issue tag — αλλάζει μόνο η τιμή:

• μία εγγραφή με τιμή letsencrypt.org
• μία εγγραφή με τιμή digicert.com

Μαζί αυτές λένε και οι δύο αυτές αρχές επιτρέπονται, καμία άλλη. Δεν τις συνδυάζετε σε μία εγγραφή.

Συνηθισμένα λάθη στο Namecheap

• Το μεγαλύτερο λάθος είναι να αποκλείσετε τη δική σας αρχή. Αν προσθέσετε εγγραφή CAA που αναφέρει μόνο digicert.com αλλά το certificate σας ανανεώνεται στην πράξη μέσω Let’s Encrypt, η επόμενη ανανέωση θα αποτύχει αθόρυβα και το λουκέτο σας μπορεί να σπάσει εβδομάδες αργότερα. Συμπεριλάβετε πάντα κάθε αρχή που πραγματικά χρησιμοποιείτε πριν αποθηκεύσετε.
• Το Host είναι @, όχι ο τομέας σας. Η πληκτρολόγηση του πλήρους ονόματος τομέα στο πεδίο Host δημιουργεί την εγγραφή στο λάθος σημείο. Χρησιμοποιήστε @ για τη ρίζα.
• Το Flag είναι 0 για κανονική εγγραφή. Η άλλη τιμή, 128, είναι αυστηρή λειτουργία που κάνει μη συμμορφούμενη αρχή να αρνείται εντελώς — χρησιμοποιήστε την μόνο σκόπιμα. Για κανονική χρήση, 0.
• Χρησιμοποιήστε τον bare τομέα, όχι URL. Η τιμή είναι letsencrypt.org, ποτέ https://letsencrypt.org και ποτέ www..
• Επιλέξτε τον τύπο CAA, όχι TXT. Το Namecheap έχει αποκλειστικό τύπο CAA Record — χρησιμοποιήστε τον αντί να προσπαθήσετε να γράψετε χειροκίνητα CAA σε εγγραφή TXT.
• Δώστε χρόνο. Οι αλλαγές DNS μπορεί να χρειαστούν μερικά λεπτά έως μερικές ώρες για να ενεργοποιηθούν. Τα υπάρχοντα certificates συνεχίζουν να λειτουργούν· το CAA ελέγχεται μόνο όταν εκδίδεται ή ανανεώνεται νέο.

Επαληθεύστε ότι λειτουργεί

Μόλις αποθηκευτεί και διαδοθεί, εκτελέστε τον δωρεάν έλεγχο σε αυτό το site. Θα σας πει με απλά λόγια αν η εγγραφή CAA είναι στη θέση της και ποιες αρχές έχετε επιτρέψει.

Έγινε; Ελέγξτε το domain σας δωρεάν για να επιβεβαιώσετε ότι λειτούργησε — και δείτε τον πλήρη βαθμό σας σε όλους τους 34 ελέγχους.