Defaults.Exposed › Seadistamine › CAA

Kuidas seadistada CAA-kirje AWS Route 53-s

Lisa AWS Route 53-s CAA-kirje, mis määrab, millistel sertifikaatide väljastajatel on lubatud sinu domeenile SSL-sertifikaate väljastada.

Miks see on teie ettevõtte jaoks oluline

CAA-kirje nimetab sertifikaatide väljastajad (ettevõtted, kes väljastab brauseris tabaluku taga olevad SSL/TLS-sertifikaadid), kellel on lubatud sinu domeenile sertifikaat väljastada. Iga reegleid järgiv väljastaja peab seda kirjet esmalt kontrollima ja keelduma taotlusest, kui seda pole nimekirjas.

Lihtsalt öeldes: ilma CAA-kirjeta võib ükskõik milline sajandist sertifikaatide väljastajast üle maailma olla petetud või teha vea ning anda kellelegi sinu domeenile kehtiva sertifikaadi — mida ründaja saaks kasutada sinu veebisaidi veenvaks kehastamiseks. CAA-kirje sulgeb selle ukse, öeldes ainult need väljastajad, mitte keegi teine. See on tasuta ja võtab mõne minuti.

Kinnita, et Route 53 haldab sinu DNS-i

See töötab ainult siis, kui Route 53 vastab sinu domeeni DNS-päringutele. Route 53-s asuvad sinu kirjed hostitud tsoonis domeeni jaoks ning see tsoon on aktiivne ainult siis, kui sinu domeeni nimeserverid osutavad tsoonis loetletud neljale Route 53 nimeserverile. Avage hostitud tsoon, kontrollige selle NS-kirjet ja kinnitage, et need nimeserverid on seadistatud teie registripidaja juures. Kui nimeserverid osutavad mujale, lisa CAA-kirje selle pakkuja juures, kes tegelikult sinu DNS-i haldab.

Teadke oma sertifikaatide väljastajat esmalt

Enne millegi lisamist selgitage välja, milline väljastaja teie sertifikaadi väljastab, muidu võite oma pakkuja blokeerida. Levinud väärtused:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (kasutatakse enamiku tasuta ja automatiseeritud sertifikaatide puhul)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Kui kasutate sertifikaatide hankimiseks AWS Certificate Manager’it, peate lubama amazon.com või ACM ei saa väljastada. Kui te pole kindel, küsige oma majutuse seadistajalt või kontrollige sertifikaati brauseris (klõpsake tabalukku, seejärel vaadake sertifikaadi väljastajat).

Samm-sammuline juhend Route 53-s

1. Logi AWS-i halduskonsooli sisse ja ava Route 53.
2. Vali vasakul menüüs Hosted zones, seejärel vali oma domeen.
3. Klõpsa Create record.
4. Jätke väli Record name tühjaks, et kirje rakendada domeeni juurele (apeksile). Ärge kirjutage domeeni nime siia.
5. Seadista Record type väärtuseks CAA.
6. Sisesta väljale Value kirje Route 53-e kolmeosalises formaadis ühel real: 0 issue "letsencrypt.org" See on lipud (0), seejärel silt (issue), seejärel sertifikaatide väljastaja topeltjutumärkides.
7. Jäta TTL vaikeväärtusele (300 sekundit sobib).
8. Valige küsimisel Simple routing, seejärel klõpsa Create records.

Mitme sertifikaatide väljastaja lubamine

Enamik domeene kasutab aja jooksul rohkem kui ühte väljastajat — näiteks AWS Certificate Manager ühe teenuse jaoks ja Let’s Encrypt teise jaoks. Route 53-s lisate täiendavad väljastajad sama CAA-kirje väärtuse kasti lisaridadena, üks iga rea kohta:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Koos öeldakse mõlemad neist väljastajatist on lubatud, keegi teine mitte. Iga rida on eraldi issue kirje; te ei pane kahte väljastajat samale reale.

Levinud vead Route 53-s

• Suurim viga on oma väljastaja blokeerimine. Kui lisate CAA-kirje, kus on ainult digicert.com, kuid teie sertifikaat uueneb tegelikult Let’s Encrypt või ACM kaudu, ebaõnnestub järgmine uuendamine vaikselt ja teie tabalukk võib nädalaid hiljem katki minna. Lisage alati kõik tegelikult kasutatavad väljastajad enne salvestamist.
• Lubage amazon.com ACM jaoks. Kui teie sertifikaadid tulevad AWS Certificate Manager’ist ja teie CAA-kirje ei sisalda amazon.com, ebaõnnestub ACM valideerimine ja uuendamine. See on kõige levinum Route 53-spetsiifiline komistuskoht.
• Jutumärgid CA ümber on kohustuslikud. Route 53 eeldab 0 issue "letsencrypt.org", kus väljastaja on topeltjutumärkides. Nende ärjätmine muudab kirje kehtetuks.
• Jätke kirje nimi tühjaks juureks. Tühi nimi rakendab kirje apeksile; domeeni nime kirjutamine sinna loob selle valesse kohta.
• Flags on tavalise kirje puhul 0. Teine väärtus, 128, on range režiim — kasutage seda ainult teadlikult.
• Kasutage vahetut domeeni, mitte URL-i. Väärtus on letsencrypt.org, mitte kunagi https://letsencrypt.org ega www..
• Andke aega. DNS-muudatused võivad jõustuda mõne minutiga, kuid võivad võtta paar tundi. Olemasolevad sertifikaadid jäävad tööle; CAA-d kontrollitakse ainult uue sertifikaadi väljastamisel või uuendamisel.

Kontrolli, kas see töötas

Pärast salvestamist ja levimist käivita selle saidi tasuta kontroll. See ütleb lihtsas keeles, kas sinu CAA-kirje on paigas ja millised väljastajad on lubatud.

Valmis? Kontrolli oma domeeni tasuta et kinnitada, kas see töötas — ja vaadata oma täielikku hinnet kõigi 34 kontrolli alusel.