Defaults.Exposed › Seadistamine › CAA

Kuidas seadistada CAA-kirje GoDaddy's

Lisa GoDaddy's CAA-kirje, mis määrab, millistel sertifikaatide väljastajatel on lubatud sinu domeenile SSL-sertifikaate väljastada.

Miks see on teie ettevõtte jaoks oluline

CAA-kirje nimetab sertifikaatide väljastajad (ettevõtted, kes väljastab brauseris tabaluku taga olevad SSL/TLS-sertifikaadid), kellel on lubatud sinu domeenile sertifikaat väljastada. Iga reegleid järgiv väljastaja peab seda kirjet esmalt kontrollima ja keelduma taotlusest, kui seda pole nimekirjas.

Lihtsalt öeldes: ilma CAA-kirjeta võib ükskõik milline sajandist sertifikaatide väljastajast üle maailma olla petetud või teha vea ning anda kellelegi sinu domeenile kehtiva sertifikaadi — mida ründaja saaks kasutada sinu veebisaidi veenvaks kehastamiseks. CAA-kirje sulgeb selle ukse, öeldes ainult need väljastajad, mitte keegi teine. See on tasuta ja võtab mõne minuti.

Kinnita, et GoDaddy haldab sinu DNS-i

See töötab ainult siis, kui GoDaddy vastab sinu domeeni DNS-päringutele. GoDaddy müüb domeene ja majutab ka DNS-i, kuid need kaks on eraldi — sinu domeeni nimeserverid peavad osutama GoDaddy suunas, et siin lisatavad kirjed oleksid aktiivsed. Logi sisse, ava oma domeen ja kinnita, et nimeserverid on GoDaddy omad. Kui need osutavad mujale, lisa CAA-kirje selle pakkuja juures, kes tegelikult sinu DNS-i haldab.

Teadke oma sertifikaatide väljastajat esmalt

Enne millegi lisamist selgitage välja, milline väljastaja teie sertifikaadi väljastab, muidu võite oma pakkuja blokeerida. Levinud väärtused:

• letsencrypt.org — Let’s Encrypt (kasutatakse enamiku tasuta ja automatiseeritud sertifikaatide puhul)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Kui te pole kindel, küsige oma majutuse seadistajalt või kontrollige sertifikaati brauseris (klõpsake tabalukku, seejärel vaadake sertifikaadi väljastajat).

Samm-sammuline juhend GoDaddy’s

1. Logi GoDaddy’sse sisse ja ava Domain Portfolio (või My Products).
2. Leia oma domeen ja ava selle DNS-halduse leht (otsi DNS või Manage DNS).
3. Kirjete loendis klõpsa Add (või Add New Record).
4. Seadista Type väärtuseks CAA.
5. Sisesta väljale Name (või Host): @ Märk @ tähendab sinu domeeni juurt. Ärge kirjutage oma domeeni nime siia.
6. Seadista Flags väärtuseks: 0
7. Seadista Tag väärtuseks: issue
8. Sisesta väljale Value oma sertifikaatide väljastaja identifikaator, näiteks: letsencrypt.org
9. Jäta TTL vaikeväärtusele (1 tund sobib).
10. Klõpsa Save.

Mitme sertifikaatide väljastaja lubamine

Enamik domeene kasutab aja jooksul rohkem kui ühte väljastajat — näiteks täna tasuta sertifikaat ja hiljem tasuline, või mõni muu eraldi teenuse jaoks. Mitme lubamiseks lisage igaühe jaoks eraldi CAA-kirje. Kõik kasutavad sama @ nime, 0 lippu ja issue silti — ainult väärtus muutub:

• üks kirje väärtusega letsencrypt.org
• üks kirje väärtusega digicert.com

Koos öeldakse mõlemad neist väljastajatist on lubatud, keegi teine mitte. Te ei ühendata neid üheks kirjeks.

Levinud vead GoDaddy’s

• Suurim viga on oma väljastaja blokeerimine. Kui lisate CAA-kirje, kus on ainult digicert.com, kuid teie sertifikaat uueneb tegelikult Let’s Encrypt kaudu, ebaõnnestub järgmine uuendamine vaikselt ja teie tabalukk võib nädalaid hiljem katki minna. Lisage alati kõik tegelikult kasutatavad väljastajad enne salvestamist.
• Name on @, mitte teie domeen. Täieliku domeeni nime kirjutamine väljale Name loob kirje valesse kohta. Kasutage juure jaoks @.
• Flags on tavalise kirje puhul 0. Teine väärtus, 128, on range režiim, mis paneb mittevastavat väljastajat keelduma — kasutage seda ainult teadlikult. Tavaliseks kasutamiseks 0.
• Kasutage vahetut domeeni, mitte URL-i. Väärtus on letsencrypt.org, mitte kunagi https://letsencrypt.org ega www..
• Ärge lisage oma jutumärke. Sisestage lihtsalt väärtus; GoDaddy haldab jutumärke ise.
• Andke aega. DNS-muudatused võivad jõustuda mõne minutiga, kuid võivad võtta paar tundi. Olemasolevad sertifikaadid jäävad tööle; CAA-d kontrollitakse ainult uue sertifikaadi väljastamisel või uuendamisel.

Kontrolli, kas see töötas

Pärast salvestamist ja levimist käivita selle saidi tasuta kontroll. See ütleb lihtsas keeles, kas sinu CAA-kirje on paigas ja millised väljastajad on lubatud.

Valmis? Kontrolli oma domeeni tasuta et kinnitada, kas see töötas — ja vaadata oma täielikku hinnet kõigi 34 kontrolli alusel.