Defaults.Exposed › Seadistamine › CAA

Kuidas seadistada CAA-kirje Cloudflare'is

Lisa Cloudflare'is CAA-kirje, mis määrab, millistel sertifikaatide väljastajatel on lubatud sinu domeenile SSL-sertifikaate väljastada.

Miks see on teie ettevõtte jaoks oluline

CAA-kirje nimetab sertifikaatide väljastajad (ettevõtted, kes väljastab brauseris tabaluku taga olevad SSL/TLS-sertifikaadid), kellel on lubatud sinu domeenile sertifikaat väljastada. Iga reegleid järgiv väljastaja peab seda kirjet esmalt kontrollima ja keelduma taotlusest, kui seda pole nimekirjas.

Lihtsalt öeldes: ilma CAA-kirjeta võib ükskõik milline sajandist sertifikaatide väljastajast üle maailma olla petetud või teha vea ning anda kellelegi sinu domeenile kehtiva sertifikaadi — mida ründaja saaks kasutada sinu veebisaidi veenvaks kehastamiseks. CAA-kirje sulgeb selle ukse, öeldes ainult need väljastajad, mitte keegi teine. See on tasuta ja võtab mõne minuti.

Kinnita, et Cloudflare haldab sinu DNS-i

See töötab ainult siis, kui Cloudflare vastab sinu domeeni DNS-päringutele. Cloudflare on sinu DNS-i majutaja ning tema DNS on aktiivne ainult siis, kui sinu domeeni nimeserverid osutavad armatuurlaual näidatud Cloudflare’i nimeserveritele. Ava oma domeen Cloudflare’is ja vaata lehe Overview kinnitust, et Cloudflare on aktiivne. Kui nimeserverid osutavad mujale, lisa CAA-kirje selle pakkuja juures, kes tegelikult sinu DNS-i haldab.

Teadke oma sertifikaatide väljastajat esmalt

Enne millegi lisamist selgitage välja, milline väljastaja teie sertifikaadi väljastab, muidu võite oma pakkuja blokeerida. Levinud väärtused:

• letsencrypt.org — Let’s Encrypt (kasutatakse enamiku tasuta ja automatiseeritud sertifikaatide puhul)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Cloudflare’i märkus: kui kasutate Cloudflare’i enda SSL-i (puhverserveeritav oranž pilvekonfiguratsioon), väljastab Cloudflare teie nimel sertifikaate mitme väljastaja kaudu — veenduge, et lisatav CAA-kirje lubab ka neid, või laske Cloudflare’il CAA-d hallata. Kui te pole kindel, küsige oma majutuse seadistajalt või kontrollige sertifikaati brauseris (klõpsake tabalukku, seejärel vaadake sertifikaadi väljastajat).

Samm-sammuline juhend Cloudflare’is

1. Logi Cloudflare’i sisse ja vali oma domeen.
2. Vali vasakul menüüs DNS-seaded (otsi DNS / Records).
3. Klõpsa Add record.
4. Seadista Type väärtuseks CAA.
5. Sisesta väljale Name: @ Märk @ tähendab sinu domeeni juurt. Cloudflare lisab domeeni automaatselt, nii et ärge kirjutage seda nime peale.
6. Cloudflare kuvab CAA väljad kasutajasõbralike menüüdena. Seadistage need järgmiselt:
   • Flags: 0
   • Tag: valige Only allow specific hostnames (see on silt issue)
   • CA domain name (väärtus): letsencrypt.org
7. Jäta TTL väärtuseks Auto.
8. Klõpsa Save.

Mitme sertifikaatide väljastaja lubamine

Enamik domeene kasutab aja jooksul rohkem kui ühte väljastajat — näiteks täna tasuta sertifikaat ja hiljem tasuline, või mõni muu eraldi teenuse jaoks. Mitme lubamiseks lisage igaühe jaoks eraldi CAA-kirje. Kõik kasutavad sama @ nime, 0 lippu ja issue silti — ainult CA domeeni väärtus muutub:

• üks kirje väärtusega letsencrypt.org
• üks kirje väärtusega digicert.com

Koos öeldakse mõlemad neist väljastajatist on lubatud, keegi teine mitte. Te ei ühendata neid üheks kirjeks.

Levinud vead Cloudflare’is

• Suurim viga on oma väljastaja blokeerimine. Kui lisate CAA-kirje, kus on ainult digicert.com, kuid teie sertifikaat uueneb tegelikult Let’s Encrypt kaudu, ebaõnnestub järgmine uuendamine vaikselt ja teie tabalukk võib nädalaid hiljem katki minna. Lisage alati kõik tegelikult kasutatavad väljastajad enne salvestamist.
• Jälgige Cloudflare’i enda SSL-i. Kui teie liiklus läbib Cloudflare’i (oranž pilv), peab Cloudflare saama hankida ääresertifikaate. CAA-kirje lisamine, mis välistab Cloudflare’i kasutatavad väljastajad, võib selle rikkuda — kahtluse korral lubage Let’s Encrypt ja Google Trust Services (pki.goog) kõrval oma omade juurde, või jätke CAA Cloudflare’ile.
• Name on @, mitte teie domeen. Kasutage juureks @; Cloudflare lisab domeeni ise.
• Sildi sõnastus erineb. Cloudflare märgib sildi issue oma menüüs kui Only allow specific hostnames. See on tavaliseks kasutamiseks õige valik.
• Flags on tavalise kirje puhul 0. Teine väärtus, 128, on range režiim — kasutage seda ainult teadlikult.
• Kasutage vahetut domeeni, mitte URL-i. Väärtus on letsencrypt.org, mitte kunagi https://letsencrypt.org ega www..
• CAA-kirjet ei puhverserveerita. CAA on puhas DNS-kirje — siin pole oranži/halli pilve lülitit, mille pärast muretseda.
• Andke aega. DNS-muudatused võivad jõustuda mõne minutiga, kuid võivad võtta paar tundi. Olemasolevad sertifikaadid jäävad tööle; CAA-d kontrollitakse ainult uue sertifikaadi väljastamisel või uuendamisel.

Kontrolli, kas see töötas

Pärast salvestamist ja levimist käivita selle saidi tasuta kontroll. See ütleb lihtsas keeles, kas sinu CAA-kirje on paigas ja millised väljastajad on lubatud.

Valmis? Kontrolli oma domeeni tasuta et kinnitada, kas see töötas — ja vaadata oma täielikku hinnet kõigi 34 kontrolli alusel.