Defaults.Exposed › رفع اشکال‌ها › CAA records

چطور CAA records را رفع کنید

یک رکورد CAA یک دستورالعمل کوتاه در تنظیمات دامنه‌ی شما است که نام می‌برد کدام شرکت‌های گواهینامه مجاز هستند گواهینامه‌ی امنیتی 'قفل' وب‌سایت شما را صادر کنند. با روشن بودن آن، هیچ شرکت دیگری نمی‌تواند به‌آرامی یک گواهینامه‌ی معتبر به نام شما ایجاد کند.

نتیجه نهایی برای کسب‌وکار شما: بدون یک رکورد CAA، تقریباً هر کدام از صدها شرکت گواهینامه در سراسر جهان می‌توانند یک گواهینامه‌ی قفل واقعی و کاملاً مورد اعتماد برای دامنه‌ی شما صادر کنند — که به یک کلاهبردار اجازه می‌دهد یک کلون کاملاً درست و کاملاً 'امن' به نظر رسیده از سایت شما برای برداشتن login ها و جزئیات کارت مشتریانتان راه بیندازد، بدون هیچ هشداری روی صفحه.

هزینه این برای شما

• یک کلاهبردار یک گواهینامه‌ی واقعی برای یک کپی از سایت شما می‌گیرد، پس قفل سبز و HTTPS نشان می‌دهد — مشتریان شما هیچ چیز اشتباهی نمی‌بینند، رمزهای عبور و شماره‌های کارت خود را تایپ می‌کنند، و تنها زمانی که chargebacks و تماس‌های عصبانی شروع می‌شود متوجه می‌شوید.
• مشتریانتان از طریق یک نمونه‌ی هم‌ارز pixel-perfect از صفحه‌ی login شما فیشینگ می‌شوند؛ خسارات — بازپرداخت، بار پشتیبانی، آسیب شهرت — روی برند شما می‌افتد حتی اگر سرورهای واقعی شما هرگز لمس نشده باشند.
• تیم امنیتی یا خرید یک مشتری احتمالی یک بررسی سریع روی دامنه‌ی شما قبل از امضا اجرا می‌کند، می‌بیند هیچ حفاظت CAA وجود ندارد، و به‌آرامی شما را به عنوان 'ضعیف روی پایه‌ها' ثبت می‌کند — یک معامله را روی تنظیمی که پنج دقیقه طول می‌کشد اضافه کنید به خطر می‌اندازد.
• یکی از شرکت‌های گواهینامه‌ی جهان به خطر می‌افتد (این بارها اتفاق افتاده — DigiNotar، Comodo، Symantec)، و چون هرگز نگفتید چه کسی مجاز است برای شما عمل کند، دامنه‌ی شما در معرض هر کدامشان که ضعیف‌ترین حلقه بشود قرار دارد.

چرا اهمیت دارد. همین الان در کاملاً باز است: هر شرکت گواهینامه روی زمین می‌تواند برای سایتی که ادعا می‌کند شماست ضمانت کند، چه تا به حال با آن‌ها معامله کرده باشید یا نه. یک رکورد CAA آن در را قفل می‌کند تا فقط ارائه‌دهنده‌ای که شما انتخاب کردید بتواند گواهینامه صادر کند — ساده‌ترین و ارزان‌ترین دفاع موجود در برابر کسی که کسب‌وکار شما را آنلاین جعل می‌کند.

رکوردهای CAA، به زبان ساده

هر وب‌سایت امنی یک گواهینامه دارد — چیزی پشت قفل در مرورگر و «https» در جلوی آدرس شما. آن گواهینامه‌ها توسط شرکت‌های تخصصی به نام certificate authorities (CA) — مثل Let’s Encrypt، DigiCert، Sectigo، Google Trust Services — صادر می‌شوند.

اینجا بخشی است که بیشتر مالکان کسب‌وکار هرگز به آن‌ها گفته نشده: به طور پیش‌فرض، صدها تا از این certificate authority ها در سراسر جهان هر کدام مجاز هستند یک گواهینامه برای دامنه‌ی شما صادر کنند — چه تا به حال اسمشان را شنیده باشید یا نه. یک رکورد CAA (Certification Authority Authorization) یک یادداشت یک‌خطی است که به تنظیمات DNS دامنه‌ی خود اضافه می‌کنید که در واقع می‌گوید: «فقط این ارائه‌دهندگان مجاز هستند برای من گواهینامه صادر کنند.» هر certificate authority مشروع طبق قوانین صنعت ملزم است آن یادداشت را قبل از صدور بررسی کند.

این چقدر ممکن است برای شما هزینه داشته باشد

ریسکی که یک رکورد CAA می‌بندد جعل قانع‌کننده است. وقتی یک کلاهبردار می‌تواند یک گواهینامه‌ی واقعی برای یک کپی از سایت شما بگیرد، علائم هشدار معمولی ناپدید می‌شوند — هیچ قفل شکسته‌ای، هیچ بنر «not secure»، هیچ خطای گواهینامه.

• کلون کامل. یک کلاهبردار یک آدرس شبیه به شما ثبت می‌کند (یا یک مسیر را به سمت مشتریان شما به خطر می‌اندازد)، یک گواهینامه‌ی واقعی می‌گیرد، و یک کلون کامل از صفحه‌ی login یا checkout شما راه می‌اندازد — قفل و همه چیز.
• کمپین فیشینگ به نام شما. مهاجمان ایمیل‌های «لطفاً حساب خود را تأیید کنید» می‌فرستند که به کلون گواهینامه‌دار سایت شما لینک می‌دهند.
• معامله‌ای که روی یک چک‌لیست متوقف می‌شود. تیم امنیتی یا خرید یک مشتری بزرگ‌تر دامنه‌ی شما را قبل از امضا اسکن می‌کند. «بدون رکورد CAA» به عنوان یک مورد قرمز یا نارنجی ظاهر می‌شود.
• به دام افتادن توسط نقض شخص دیگری. یک certificate authority که هرگز با آن سر و کار نداشته‌اید به خطر می‌افتد — DigiNotar، Comodo و Symantec همه حوادث جدی داشتند.
• نقطه‌ی کور wildcard. حتی کسب‌وکارهایی که در مورد سایت اصلی خود مراقب هستند اغلب زیردامنه‌ها را فراموش می‌کنند. بدون یک قانون issuewild، یک مهاجم که می‌تواند یک گواهینامه‌ی wildcard بگیرد عملاً کلیدی به هر زیردامنه‌ای که تا ابد خواهید داشت می‌گیرد.

در واقع چیست، و «خوب» چه شکلی است

یک رکورد CAA در DNS دامنه‌ی شما زندگی می‌کند. هر رکورد سه بخش دارد: یک flag، یک tag، و یک value. تگ‌هایی که مهم هستند:

• issue — نام می‌برد یک certificate authority که مجاز است گواهینامه‌های عادی برای دامنه‌ی شما صادر کند.
• issuewild — wildcard گواهینامه‌ها (یک گواهینامه که هر زیردامنه را پوشش می‌دهد، مثل *.example.com) را کنترل می‌کند.
• iodef — یک آدرس تماس اختیاری که در آن اگر یک certificate authority درخواستی را به دلیل سیاست CAA شما رد کرد مطلع می‌شوید.

«خوب» چه شکلی است: حداقل یک رکورد issue (یا issuewild) وجود دارد که ارائه‌دهنده‌هایی که واقعاً استفاده می‌کنید را نام می‌برد، با wildcard ها یا محدود شده به یک ارائه‌دهنده‌ی نام‌برده شده یا کاملاً بلاک شده.

آیا این نمره‌ی من را تحت تأثیر قرار می‌دهد؟ بله. یک رکورد CAA گمشده یک مورد نمره‌گذاری شده است و با شدت متوسط نشانه‌گذاری می‌شود. اضافه کردن رکورد شکاف را می‌بندد و یافته را پاک می‌کند.

چگونه آن را رفع کنیم (رایگان، ~۵ دقیقه)

این بخش را به هر کسی که دامنه یا وب‌سایت شما را مدیریت می‌کند بدهید — رفع رایگان است. یک تغییر DNS کوچک است، نه یک بازسازی.

مرحله ۱ — بفهمید واقعاً از کدام certificate authority استفاده می‌کنید. این یک مرحله‌ای است که ارزش دارد درست انجام شود، چون فهرست کردن ارائه‌دهنده‌ی اشتباه می‌تواند تجدید بعدی شما را بلاک کند. موارد رایج:

• Let’s Encrypt — توسط بسیاری از هاست‌ها استفاده می‌شود → letsencrypt.org
• Cloudflare (اگر گواهینامه‌ی edge شما را صادر می‌کند) → letsencrypt.org، digicert.com، comodoca.com، pki.goog، و ssl.com
• Google Workspace / Google Trust Services → pki.goog
• DigiCert → digicert.com
• Sectigo / Comodo → sectigo.com (و comodoca.com)
• Microsoft 365 / Azure → digicert.com

اگر مطمئن نیستید، گواهینامه‌ی فعلی را در مرورگر نگاه کنید (قفل را کلیک کنید → جزئیات گواهینامه → «صادر شده توسط»).

مرحله ۲ — وارد ارائه‌دهنده‌ی DNS خود شوید. این جایی است که رکوردهای دامنه‌ی شما زندگی می‌کنند — معمولاً registrar، هاست وب، یا Cloudflare شما. بخش رکوردهای DNS را پیدا کنید و یک رکورد جدید از نوع CAA (برخی رابط‌ها آن را نوع 257 می‌نامند) اضافه کنید.

مرحله ۳ — یک رکورد issue برای هر ارائه‌دهنده‌ای که استفاده می‌کنید اضافه کنید. مثلاً برای Let’s Encrypt:

example.com.   CAA   0 issue "letsencrypt.org"

مرحله ۴ — گواهینامه‌های wildcard را کنترل کنید. اگر از wildcard ها استفاده نمی‌کنید، آن‌ها را کاملاً بلاک کنید:

example.com.   CAA   0 issuewild ";"

اگر از wildcard ها استفاده می‌کنید، به جای آن ارائه‌دهنده را نام ببرید: 0 issuewild "letsencrypt.org".

مرحله ۵ — (توصیه شده) یک آدرس اطلاع‌رسانی اضافه کنید. تا هر زمان که یک CA درخواستی را رد کرد مطلع شوید:

example.com.   CAA   0 iodef "mailto:[email protected]"

مرحله ۶ — ذخیره کنید و تأیید کنید. dig CAA example.com را اجرا کنید و تأیید کنید رکوردهایتان ظاهر می‌شوند. گواهینامه‌ی موجود و همه‌ی تجدیدها در طول این مدت کار می‌کنند.

اشتباهات رایج

• فهرست کردن CA اشتباه — یا فراموش کردن یکی. اگر از بیش از یک صادرکننده استفاده می‌کنید، همه را فهرست کنید.
• تنظیم issue اما نادیده گرفتن wildcard ها. همیشه issuewild را نیز تنظیم کنید.
• قرار دادن CAA روی نام اشتباه. CAA را در بالای دامنه‌ی خود (مثل example.com) تنظیم کنید — به طور پیش‌فرض زیردامنه‌ها را پوشش می‌دهد.
• فرض کردن پلتفرم شما از قبل این کار را کرده. Cloudflare، Google و Microsoft گواهینامه‌ها را مدیریت می‌کنند اما رکوردهای CAA را برای شما اضافه نمی‌کنند.
• رفتار با آن به عنوان یکبار-و-تمام شده بدون نظارت. یک مهاجرت DNS بعدی، یک تغییر registrar، یا یک «مرتب‌سازی» رکوردها می‌تواند به‌آرامی حفاظت CAA شما را حذف کند.

آن را در هاست خود راه‌اندازی کنید

گام‌به‌گام برای ارائه‌دهندگان محبوب:

• راه‌اندازی CAA در GoDaddy
• راه‌اندازی CAA در Namecheap
• راه‌اندازی CAA در Cloudflare
• راه‌اندازی CAA در AWS Route 53

پرسش‌های متداول