Defaults.Exposed › راه‌اندازی › CAA

راه‌اندازی رکورد CAA در Cloudflare

یک رکورد CAA در Cloudflare اضافه کنید تا کنترل کنید کدام مراجع صدور گواهی مجاز به صدور گواهینامه SSL برای دامنه شما هستند.

چرا این موضوع برای کسب‌وکار شما اهمیت دارد

یک رکورد CAA مشخص می‌کند کدام مراجع صدور گواهی (شرکت‌هایی که گواهینامه‌های SSL/TLS پشت نماد قفل مرورگر را صادر می‌کنند) مجاز به صدور گواهینامه برای دامنه شما هستند. هر مرجعی که قوانین را رعایت کند باید ابتدا این رکورد را بررسی کند و اگر در فهرست نبود، درخواست را رد کند.

به زبان ساده: بدون یک رکورد CAA، هر یک از صدها مرجع صدور گواهی در سراسر جهان می‌توانند فریب خورده یا اشتباه کنند و یک گواهینامه معتبر برای دامنه شما به کسی بدهند — که یک مهاجم می‌تواند از آن برای جعل هویت وب‌سایت شما به‌طور متقاعدکننده استفاده کند. یک رکورد CAA آن در را با اعلام فقط این مراجع، نه هیچ‌کس دیگری می‌بندد. رایگان است و چند دقیقه طول می‌کشد.

تأیید کنید که Cloudflare DNS شما را اداره می‌کند

این فقط در صورتی کار می‌کند که Cloudflare پاسخ DNS دامنه شما را بدهد. Cloudflare هاست DNS شماست، و DNS آن فقط زمانی فعال است که nameservers دامنه شما به nameservers Cloudflare که در داشبوردتان نشان داده شده اشاره کنند. دامنه‌تان را در Cloudflare باز کنید و صفحه Overview را بررسی کنید تا مطمئن شوید Cloudflare فعال است. اگر nameservers شما به جای دیگری اشاره می‌کنند، رکورد CAA را در آن سرویس‌دهنده DNS اضافه کنید.

ابتدا مرجع صدور گواهی خود را بشناسید

قبل از اضافه کردن هر چیزی، بدانید کدام مرجع گواهینامه شما را صادر می‌کند، وگرنه ممکن است سرویس‌دهنده خودتان را قفل کنید. مقادیر رایج:

• letsencrypt.org — Let’s Encrypt (برای اکثر گواهینامه‌های رایگان و خودکار)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

نکته‌ای درباره Cloudflare: اگر از SSL خود Cloudflare (راه‌اندازی پروکسی ابر نارنجی) استفاده می‌کنید، Cloudflare از طرف شما گواهینامه‌هایی از چند مرجع صادر می‌کند — پس مطمئن شوید هر رکورد CAA که اضافه می‌کنید هنوز آن‌ها را مجاز می‌کند، یا مدیریت CAA را به Cloudflare بسپارید. اگر مطمئن نیستید، از کسی که هاستینگ شما را راه‌اندازی کرده بپرسید، یا گواهینامه را در مرورگر بررسی کنید.

راهنمای گام‌به‌گام در Cloudflare

1. وارد Cloudflare شوید و دامنه‌تان را انتخاب کنید.
2. در منوی سمت چپ، به تنظیمات DNS بروید (به دنبال DNS / Records بگردید).
3. روی Add record کلیک کنید.
4. Type را روی CAA تنظیم کنید.
5. در فیلد Name، وارد کنید: @ @ یعنی ریشه دامنه شما. Cloudflare خودش دامنه را اضافه می‌کند، پس نام دامنه را بعد از آن تایپ نکنید.
6. Cloudflare فیلدهای CAA را به صورت منوهای کاربرپسند نشان می‌دهد. به شکل زیر تنظیم کنید:
   • Flags: 0
   • Tag: Only allow specific hostnames را انتخاب کنید (این همان tag issue است)
   • CA domain name (مقدار): letsencrypt.org
7. TTL را روی Auto بگذارید.
8. روی Save کلیک کنید.

اجازه دادن به بیش از یک مرجع صدور گواهی

اکثر دامنه‌ها در طول زمان از بیش از یک مرجع استفاده می‌کنند — مثلاً یک گواهینامه رایگان امروز و یک گواهینامه پولی بعداً، یا یکی متفاوت برای یک سرویس جداگانه. برای اجازه دادن به چند مرجع، یک رکورد CAA جداگانه برای هر کدام اضافه کنید. همه از همان نام @، flags 0، و tag issue استفاده می‌کنند — فقط مقدار CA domain تغییر می‌کند:

• یک رکورد با مقدار letsencrypt.org
• یک رکورد با مقدار digicert.com

این دو با هم می‌گویند هر دوی این مراجع مجاز هستند، نه دیگران. آن‌ها را در یک رکورد واحد ترکیب نکنید.

اشتباهات رایج در Cloudflare

• بزرگ‌ترین اشتباه این است که مرجع خودتان را قفل کنید. اگر یک رکورد CAA فقط با digicert.com اضافه کنید اما گواهینامه شما در واقع از طریق Let’s Encrypt تمدید می‌شود، تمدید بعدی بدون هیچ اطلاعیه‌ای شکست می‌خورد و قفل شما ممکن است هفته‌ها بعد از کار بیفتد. همیشه همه مراجعی که واقعاً استفاده می‌کنید را قبل از ذخیره درج کنید.
• مراقب SSL خود Cloudflare باشید. اگر ترافیک از طریق Cloudflare (ابر نارنجی) عبور می‌کند، Cloudflare باید بتواند گواهینامه‌های edge دریافت کند. اضافه کردن یک رکورد CAA که مراجع مورد استفاده Cloudflare را مستثنی می‌کند می‌تواند این را خراب کند — در صورت شک، Let’s Encrypt و Google Trust Services (pki.goog) را همراه با خودتان مجاز کنید، یا CAA را به Cloudflare بسپارید.
• Name باید @ باشد، نه دامنه شما. از @ برای ریشه استفاده کنید؛ Cloudflare خودش دامنه را اضافه می‌کند.
• نام tag متفاوت است. Cloudflare tag issue را در منوی خود Only allow specific hostnames می‌نامد. برای استفاده عادی این انتخاب درست است.
• Flags برای رکورد عادی 0 است. مقدار دیگر، 128، یک حالت سخت‌گیر است — فقط به‌صورت عمدی از آن استفاده کنید.
• از دامنه خالی استفاده کنید، نه URL. مقدار باید letsencrypt.org باشد، نه https://letsencrypt.org و نه www..
• رکورد CAA پروکسی ندارد. CAA یک رکورد خالص DNS است — نگران toggle نارنجی/خاکستری ابر اینجا نباشید.
• صبور باشید. تغییرات DNS ممکن است از چند دقیقه تا چند ساعت طول بکشد تا اعمال شوند. گواهینامه‌های موجود کار می‌کنند؛ CAA فقط زمانی بررسی می‌شود که یک گواهینامه جدید صادر یا تمدید شود.

تأیید کنید که کار کرد

پس از ذخیره و انتشار، بررسی رایگان این سایت را اجرا کنید. به زبان ساده به شما می‌گوید آیا رکورد CAA شما در جای خود است و کدام مراجع را مجاز کرده‌اید.

انجام شد؟ دامنه خود را رایگان بررسی کنید تا تأیید کنید که کار کرده — و رتبه کامل خود را در همه ۳۴ بررسی ببینید.