Defaults.Exposed › راه‌اندازی › CAA

راه‌اندازی رکورد CAA در AWS Route 53

یک رکورد CAA در AWS Route 53 اضافه کنید تا کنترل کنید کدام مراجع صدور گواهی مجاز به صدور گواهینامه SSL برای دامنه شما هستند.

چرا این موضوع برای کسب‌وکار شما اهمیت دارد

یک رکورد CAA مشخص می‌کند کدام مراجع صدور گواهی (شرکت‌هایی که گواهینامه‌های SSL/TLS پشت نماد قفل مرورگر را صادر می‌کنند) مجاز به صدور گواهینامه برای دامنه شما هستند. هر مرجعی که قوانین را رعایت کند باید ابتدا این رکورد را بررسی کند و اگر در فهرست نبود، درخواست را رد کند.

به زبان ساده: بدون یک رکورد CAA، هر یک از صدها مرجع صدور گواهی در سراسر جهان می‌توانند فریب خورده یا اشتباه کنند و یک گواهینامه معتبر برای دامنه شما به کسی بدهند — که یک مهاجم می‌تواند از آن برای جعل هویت وب‌سایت شما به‌طور متقاعدکننده استفاده کند. یک رکورد CAA آن در را با اعلام فقط این مراجع، نه هیچ‌کس دیگری می‌بندد. رایگان است و چند دقیقه طول می‌کشد.

تأیید کنید که Route 53 DNS شما را اداره می‌کند

این فقط در صورتی کار می‌کند که Route 53 پاسخ DNS دامنه شما را بدهد. در Route 53، رکوردهای شما در یک hosted zone برای دامنه قرار دارند، و آن zone فقط زمانی فعال است که nameservers دامنه شما به چهار nameserver Route 53 فهرست‌شده در zone اشاره کنند. hosted zone را باز کنید، رکورد NS آن را بررسی کنید، و تأیید کنید آن nameservers در رجیسترار شما تنظیم شده‌اند. اگر nameservers شما به جای دیگری اشاره می‌کنند، رکورد CAA را در آن سرویس‌دهنده DNS اضافه کنید.

ابتدا مرجع صدور گواهی خود را بشناسید

قبل از اضافه کردن هر چیزی، بدانید کدام مرجع گواهینامه شما را صادر می‌کند، وگرنه ممکن است سرویس‌دهنده خودتان را قفل کنید. مقادیر رایج:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (برای اکثر گواهینامه‌های رایگان و خودکار)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

اگر از AWS Certificate Manager برای دریافت گواهینامه استفاده می‌کنید، باید amazon.com را مجاز کنید وگرنه ACM نخواهد توانست صادر کند. اگر مطمئن نیستید، از کسی که هاستینگ شما را راه‌اندازی کرده بپرسید، یا گواهینامه را در مرورگر بررسی کنید.

راهنمای گام‌به‌گام در Route 53

1. وارد AWS Management Console شوید و Route 53 را باز کنید.
2. در منوی سمت چپ، Hosted zones را انتخاب کنید، سپس دامنه‌تان را انتخاب کنید.
3. روی Create record کلیک کنید.
4. فیلد Record name را خالی بگذارید تا رکورد در ریشه دامنه (apex) اعمال شود. نام دامنه را اینجا تایپ نکنید.
5. Record type را روی CAA تنظیم کنید.
6. در کادر Value، رکورد را در فرمت سه‌بخشی Route 53 در یک خط وارد کنید: 0 issue "letsencrypt.org" این flags (0)، سپس tag (issue)، سپس مرجع صدور گواهی در گیومه دوگانه است.
7. TTL را روی پیش‌فرض بگذارید (300 ثانیه مناسب است).
8. در صورت درخواست Simple routing را انتخاب کنید، سپس روی Create records کلیک کنید.

اجازه دادن به بیش از یک مرجع صدور گواهی

اکثر دامنه‌ها در طول زمان از بیش از یک مرجع استفاده می‌کنند — مثلاً AWS Certificate Manager برای یک سرویس و Let’s Encrypt برای سرویس دیگر. در Route 53، مراجع اضافی را به عنوان خطوط اضافی در همان کادر Value رکورد CAA اضافه می‌کنید، یک خط برای هر کدام:

0 issue "amazon.com"
0 issue "letsencrypt.org"

این دو با هم می‌گویند هر دوی این مراجع مجاز هستند، نه دیگران. هر خط یک ورودی issue جداگانه است؛ دو مرجع را در یک خط قرار ندهید.

اشتباهات رایج در Route 53

• بزرگ‌ترین اشتباه این است که مرجع خودتان را قفل کنید. اگر یک رکورد CAA فقط با digicert.com اضافه کنید اما گواهینامه شما در واقع از طریق Let’s Encrypt یا ACM تمدید می‌شود، تمدید بعدی بدون هیچ اطلاعیه‌ای شکست می‌خورد و قفل شما ممکن است هفته‌ها بعد از کار بیفتد. همیشه همه مراجعی که واقعاً استفاده می‌کنید را قبل از ذخیره درج کنید.
• برای ACM، amazon.com را مجاز کنید. اگر گواهینامه‌های شما از AWS Certificate Manager می‌آیند و رکورد CAA شما amazon.com را شامل نمی‌شود، اعتبارسنجی و تمدید ACM شکست می‌خورد. این رایج‌ترین مشکل خاص Route 53 است.
• گیومه‌ها دور CA الزامی هستند. Route 53 انتظار دارد 0 issue "letsencrypt.org" با مرجع در گیومه دوگانه باشد. نگذاشتن گیومه رکورد را نامعتبر می‌کند.
• نام رکورد را برای ریشه خالی بگذارید. یک نام خالی رکورد را در apex اعمال می‌کند؛ تایپ نام دامنه آنجا آن را در جای اشتباه ایجاد می‌کند.
• Flags برای رکورد عادی 0 است. مقدار دیگر، 128، یک حالت سخت‌گیر است — فقط به‌صورت عمدی از آن استفاده کنید.
• از دامنه خالی استفاده کنید، نه URL. مقدار باید letsencrypt.org باشد، نه https://letsencrypt.org و نه www..
• صبور باشید. تغییرات DNS ممکن است از چند دقیقه تا چند ساعت طول بکشد تا اعمال شوند. گواهینامه‌های موجود کار می‌کنند؛ CAA فقط زمانی بررسی می‌شود که یک گواهینامه جدید صادر یا تمدید شود.

تأیید کنید که کار کرد

پس از ذخیره و انتشار، بررسی رایگان این سایت را اجرا کنید. به زبان ساده به شما می‌گوید آیا رکورد CAA شما در جای خود است و کدام مراجع را مجاز کرده‌اید.

انجام شد؟ دامنه خود را رایگان بررسی کنید تا تأیید کنید که کار کرده — و رتبه کامل خود را در همه ۳۴ بررسی ببینید.