Defaults.Exposed › Ρύθμιση › CAA

Πώς να ρυθμίσετε μια εγγραφή CAA στο AWS Route 53

Προσθέστε μια εγγραφή CAA στο AWS Route 53 για να ελέγξετε ποιες αρχές πιστοποίησης επιτρέπεται να εκδίδουν SSL certificates για τον τομέα σας.

Γιατί αυτό έχει σημασία για την επιχείρησή σας

Μια εγγραφή CAA ονομάζει ποιες αρχές πιστοποίησης (οι εταιρείες που εκδίδουν τα SSL/TLS certificates πίσω από το λουκέτο του προγράμματος περιήγησης) επιτρέπεται να εκδώσουν certificate για τον τομέα σας. Κάθε αρχή που ακολουθεί τους κανόνες πρέπει να ελέγξει πρώτα αυτή την εγγραφή και να αρνηθεί το αίτημα αν δεν βρίσκεται στη λίστα.

Με απλά λόγια: χωρίς εγγραφή CAA, οποιαδήποτε από τις εκατοντάδες αρχές πιστοποίησης παγκοσμίως θα μπορούσε να εξαπατηθεί ή να κάνει λάθος και να δώσει σε κάποιον ένα έγκυρο certificate για τον τομέα σας — το οποίο ένας εισβολέας θα μπορούσε να χρησιμοποιήσει για να υποδυθεί πειστικά την ιστοσελίδα σας. Μια εγγραφή CAA κλείνει αυτή την πόρτα λέγοντας μόνο αυτές οι αρχές, κανείς άλλος. Είναι δωρεάν και χρειάζεται μερικά λεπτά.

Επιβεβαιώστε ότι το Route 53 διαχειρίζεται το DNS σας

Αυτό λειτουργεί μόνο αν το Route 53 απαντά στα DNS ερωτήματα για τον τομέα σας. Στο Route 53 οι εγγραφές σας βρίσκονται μέσα σε ένα hosted zone για τον τομέα, και εκείνη η ζώνη είναι ενεργή μόνο όταν οι nameservers του τομέα σας δείχνουν στους τέσσερις nameservers του Route 53 που αναφέρονται στη ζώνη. Ανοίξτε το hosted zone, ελέγξτε την εγγραφή NS του, και επιβεβαιώστε ότι αυτοί οι nameservers είναι ορισμένοι στον registrar σας. Αν οι nameservers σας δείχνουν αλλού, προσθέστε την εγγραφή CAA στον παροχό που διαχειρίζεται το DNS σας.

Μάθετε πρώτα ποια είναι η αρχή πιστοποίησής σας

Πριν προσθέσετε οτιδήποτε, μάθετε ποια αρχή εκδίδει το certificate σας, διαφορετικά κινδυνεύετε να αποκλείσετε τον δικό σας παροχό. Συνηθισμένες τιμές:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (χρησιμοποιείται στα περισσότερα δωρεάν και αυτοματοποιημένα certificates)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Αν χρησιμοποιείτε AWS Certificate Manager για να εκδίδετε certificates, πρέπει να επιτρέψετε το amazon.com διαφορετικά το ACM δεν θα μπορεί να εκδώσει. Αν δεν είστε σίγουροι, ρωτήστε αυτόν που ρύθμισε το hosting σας, ή ελέγξτε το certificate στο πρόγραμμα περιήγησης.

Βήμα προς βήμα στο Route 53

1. Συνδεθείτε στην AWS Management Console και ανοίξτε το Route 53.
2. Στο αριστερό μενού, επιλέξτε Hosted zones, και μετά επιλέξτε τον τομέα σας.
3. Κάντε κλικ στο Create record.
4. Αφήστε το πεδίο Record name κενό για να εφαρμόσετε την εγγραφή στη ρίζα του τομέα σας (apex). Μην πληκτρολογήσετε το όνομα τομέα σας εδώ.
5. Ορίστε τον Record type σε CAA.
6. Στο πλαίσιο Value, εισάγετε την εγγραφή στη μορφή τριών μερών του Route 53 σε μία γραμμή: 0 issue "letsencrypt.org" Αυτά είναι τα flags (0), μετά το tag (issue), μετά η αρχή πιστοποίησης σε διπλά εισαγωγικά.
7. Αφήστε το TTL στην προεπιλογή (300 δευτερόλεπτα είναι εντάξει).
8. Επιλέξτε Simple routing αν σας ζητηθεί, μετά κάντε κλικ στο Create records.

Αποδοχή περισσότερων από μία αρχών πιστοποίησης

Οι περισσότεροι τομείς χρησιμοποιούν περισσότερες από μία αρχές με την πάροδο του χρόνου — για παράδειγμα, AWS Certificate Manager για μία υπηρεσία και Let’s Encrypt για άλλη. Στο Route 53 προσθέτετε τις επιπλέον αρχές ως πρόσθετες γραμμές στο πλαίσιο Value της ίδιας εγγραφής CAA, μία ανά γραμμή:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Μαζί αυτές λένε και οι δύο αυτές αρχές επιτρέπονται, καμία άλλη. Κάθε γραμμή είναι χωριστή καταχώρηση issue· δεν βάζετε δύο αρχές στην ίδια γραμμή.

Συνηθισμένα λάθη στο Route 53

• Το μεγαλύτερο λάθος είναι να αποκλείσετε τη δική σας αρχή. Αν προσθέσετε εγγραφή CAA που αναφέρει μόνο digicert.com αλλά το certificate σας ανανεώνεται στην πράξη μέσω Let’s Encrypt ή ACM, η επόμενη ανανέωση θα αποτύχει αθόρυβα και το λουκέτο σας μπορεί να σπάσει εβδομάδες αργότερα. Συμπεριλάβετε πάντα κάθε αρχή που πραγματικά χρησιμοποιείτε πριν αποθηκεύσετε.
• Επιτρέψτε amazon.com για ACM. Αν τα certificates σας προέρχονται από AWS Certificate Manager και η εγγραφή CAA δεν συμπεριλαμβάνει amazon.com, η επαλήθευση και ανανέωση ACM θα αποτύχει. Αυτό είναι το πιο συνηθισμένο πρόβλημα ειδικά για το Route 53.
• Τα εισαγωγικά γύρω από το CA είναι απαραίτητα. Το Route 53 απαιτεί 0 issue "letsencrypt.org" με την αρχή σε διπλά εισαγωγικά. Η παράλειψή τους κάνει την εγγραφή άκυρη.
• Αφήστε το record name κενό για τη ρίζα. Ένα κενό name εφαρμόζει την εγγραφή στο apex· η πληκτρολόγηση του ονόματος τομέα τη δημιουργεί στο λάθος σημείο.
• Τα Flags είναι 0 για κανονική εγγραφή. Η άλλη τιμή, 128, είναι αυστηρή λειτουργία — χρησιμοποιήστε την μόνο σκόπιμα.
• Χρησιμοποιήστε τον bare τομέα, όχι URL. Η τιμή είναι letsencrypt.org, ποτέ https://letsencrypt.org και ποτέ www..
• Δώστε χρόνο. Οι αλλαγές DNS μπορεί να χρειαστούν μερικά λεπτά έως μερικές ώρες για να ενεργοποιηθούν. Τα υπάρχοντα certificates συνεχίζουν να λειτουργούν· το CAA ελέγχεται μόνο όταν εκδίδεται ή ανανεώνεται νέο.

Επαληθεύστε ότι λειτουργεί

Μόλις αποθηκευτεί και διαδοθεί, εκτελέστε τον δωρεάν έλεγχο σε αυτό το site. Θα σας πει με απλά λόγια αν η εγγραφή CAA είναι στη θέση της και ποιες αρχές έχετε επιτρέψει.

Έγινε; Ελέγξτε το domain σας δωρεάν για να επιβεβαιώσετε ότι λειτούργησε — και δείτε τον πλήρη βαθμό σας σε όλους τους 34 ελέγχους.