Defaults.Exposed › Seadistamine › CAA

Kuidas seadistada CAA-kirje Namecheap'is

Lisa Namecheap'is CAA-kirje, mis määrab, millistel sertifikaatide väljastajatel on lubatud sinu domeenile SSL-sertifikaate väljastada.

Miks see on teie ettevõtte jaoks oluline

CAA-kirje nimetab sertifikaatide väljastajad (ettevõtted, kes väljastab brauseris tabaluku taga olevad SSL/TLS-sertifikaadid), kellel on lubatud sinu domeenile sertifikaat väljastada. Iga reegleid järgiv väljastaja peab seda kirjet esmalt kontrollima ja keelduma taotlusest, kui seda pole nimekirjas.

Lihtsalt öeldes: ilma CAA-kirjeta võib ükskõik milline sajandist sertifikaatide väljastajast üle maailma olla petetud või teha vea ning anda kellelegi sinu domeenile kehtiva sertifikaadi — mida ründaja saaks kasutada sinu veebisaidi veenvaks kehastamiseks. CAA-kirje sulgeb selle ukse, öeldes ainult need väljastajad, mitte keegi teine. See on tasuta ja võtab mõne minuti.

Kinnita, et Namecheap haldab sinu DNS-i

See töötab ainult siis, kui Namecheap vastab sinu domeeni DNS-päringutele. Allolevad kirjed lähevad Advanced DNS-i, mis on aktiivne ainult siis, kui sinu domeen kasutab Namecheap BasicDNS (või PremiumDNS). Logi sisse, ava Domain List, klõpsa oma domeeni kõrval Manage ja kinnita, et nimeserverid on seadistatud Namecheap’ile. Kui nimeserverid osutavad mujale, lisa CAA-kirje selle pakkuja juures, kes tegelikult sinu DNS-i haldab.

Teadke oma sertifikaatide väljastajat esmalt

Enne millegi lisamist selgitage välja, milline väljastaja teie sertifikaadi väljastab, muidu võite oma pakkuja blokeerida. Levinud väärtused:

• letsencrypt.org — Let’s Encrypt (kasutatakse enamiku tasuta ja automatiseeritud sertifikaatide puhul)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Kui te pole kindel, küsige oma majutuse seadistajalt või kontrollige sertifikaati brauseris (klõpsake tabalukku, seejärel vaadake sertifikaadi väljastajat).

Samm-sammuline juhend Namecheap’is

1. Logi Namecheap’i sisse ja ava Domain List.
2. Klõpsa oma domeeni kõrval Manage.
3. Ava vahekaart Advanced DNS.
4. Jaotises Host Records klõpsa Add New Record.
5. Seadista kirje Type väärtuseks CAA Record.
6. Sisesta väljale Host: @ Märk @ tähendab sinu domeeni juurt. Ärge kirjutage oma domeeni nime siia.
7. Sisesta väljale Flag: 0
8. Valige väljalt Tag: issue
9. Sisesta väljale Value (CA domain) oma sertifikaatide väljastaja identifikaator, näiteks: letsencrypt.org
10. Jäta TTL väärtuseks Automatic.
11. Klõpsa rohelist kiiksutust salvestamiseks, seejärel vajaduse korral Save All Changes.

Mitme sertifikaatide väljastaja lubamine

Enamik domeene kasutab aja jooksul rohkem kui ühte väljastajat — näiteks täna tasuta sertifikaat ja hiljem tasuline, või mõni muu eraldi teenuse jaoks. Mitme lubamiseks lisage igaühe jaoks eraldi CAA-kirje. Kõik kasutavad sama @ hosti, 0 lippu ja issue silti — ainult väärtus muutub:

• üks kirje väärtusega letsencrypt.org
• üks kirje väärtusega digicert.com

Koos öeldakse mõlemad neist väljastajatist on lubatud, keegi teine mitte. Te ei ühendata neid üheks kirjeks.

Levinud vead Namecheap’is

• Suurim viga on oma väljastaja blokeerimine. Kui lisate CAA-kirje, kus on ainult digicert.com, kuid teie sertifikaat uueneb tegelikult Let’s Encrypt kaudu, ebaõnnestub järgmine uuendamine vaikselt ja teie tabalukk võib nädalaid hiljem katki minna. Lisage alati kõik tegelikult kasutatavad väljastajad enne salvestamist.
• Host on @, mitte teie domeen. Täieliku domeeni nime kirjutamine väljale Host loob kirje valesse kohta. Kasutage juure jaoks @.
• Flag on tavalise kirje puhul 0. Teine väärtus, 128, on range režiim, mis paneb mittevastavat väljastajat keelduma — kasutage seda ainult teadlikult. Tavaliseks kasutamiseks 0.
• Kasutage vahetut domeeni, mitte URL-i. Väärtus on letsencrypt.org, mitte kunagi https://letsencrypt.org ega www..
• Valige CAA tüüp, mitte TXT. Namecheap’il on eraldi CAA Record tüüp — kasutage seda, mitte ärge proovige CAA-d TXT-kirjena käsitsi kirjutada.
• Andke aega. DNS-muudatused võivad jõustuda mõne minutiga, kuid võivad võtta paar tundi. Olemasolevad sertifikaadid jäävad tööle; CAA-d kontrollitakse ainult uue sertifikaadi väljastamisel või uuendamisel.

Kontrolli, kas see töötas

Pärast salvestamist ja levimist käivita selle saidi tasuta kontroll. See ütleb lihtsas keeles, kas sinu CAA-kirje on paigas ja millised väljastajad on lubatud.

Valmis? Kontrolli oma domeeni tasuta et kinnitada, kas see töötas — ja vaadata oma täielikku hinnet kõigi 34 kontrolli alusel.