Defaults.Exposed › Asennus › CAA

CAA-tietueen lisääminen Cloudflaressa

Lisää CAA-tietue Cloudflareen ja määritä, millä varmenneviranomaisilla on lupa myöntää SSL-varmenteita verkkotunnuksellesi.

Miksi tämä on tärkeää yrityksellesi

CAA-tietue nimeää varmenneviranomaiset (yritykset, jotka myöntävät selaimen lukkokuvakkeen takana olevat SSL/TLS-varmenteet) joilla on lupa myöntää varmenne verkkotunnuksellesi. Jokaisen sääntöjä noudattavan viranomaisen täytyy tarkistaa tämä tietue ensin ja kieltäytyä pyynnöstä, jos pyytäjä ei ole listalla.

Käytännössä: ilman CAA-tietuetta mikä tahansa sadoista maailmanlaajuisista varmenneviranomaisista saattaa tulla huijatuksi tai tehdä virheen ja myöntää jonkun käyttöön voimassaolevan varmenteen verkkotunnuksellesi — jota hyökkääjä voisi käyttää vakuuttavasti esiintyäkseen verkkosivustosi nimissä. CAA-tietue sulkee tämän aukon sanomalla vain nämä viranomaiset, ei kukaan muu. Se on ilmainen ja vie vain muutaman minuutin.

Varmista, että Cloudflare hallinnoi DNS:äsi

Tämä toimii vain, jos Cloudflare vastaa verkkotunnuksesi DNS-kyselyihin. Cloudflare on DNS-isäntäsi, ja sen DNS on aktiivinen vain, kun verkkotunnuksesi nimipalvelimet osoittavat kojetaulussa näkyviin Cloudflare-nimipalvelimiin. Avaa verkkotunnuksesi Cloudflaressa ja tarkista Overview-sivulta, että Cloudflare on aktiivinen. Jos nimipalvelimesi osoittavat muualle, lisää CAA-tietue sillä palveluntarjoajalla, joka hallinnoi DNS:äsi.

Selvitä ensin varmenneviranomaisesi

Ennen kuin lisäät mitään, selvitä, mikä viranomainen myöntää varmenteesi — muutoin saatat sulkea oman palveluntarjoajasi ulos. Yleisiä arvoja:

• letsencrypt.org — Let’s Encrypt (käytetään useimmissa ilmaisissa ja automaattisissa varmenteissa)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Cloudflare-huomio: jos käytät Cloudflaren omaa SSL:ää (proxyn oranssi pilvi -asetus), Cloudflare myöntää reunavarmenteita useiden viranomaisten kautta puolestasi — varmista, että kaikki lisäämäsi CAA-tietueet sallivat ne, tai anna Cloudflaren hallita CAA:ta puolestasi. Jos olet epävarma, kysy hosting-palvelusi asettajalta tai tarkista varmenne selaimessasi (napsauta lukkokuvaketta ja katso varmenteen myöntäjä).

Vaiheittaiset ohjeet Cloudflaressa

1. Kirjaudu sisään Cloudflareen ja valitse verkkotunnuksesi.
2. Siirry vasemmasta valikosta DNS-asetuksiin (etsi DNS / Records).
3. Napsauta Add record.
4. Aseta Type arvoon CAA.
5. Kirjoita Name-kenttään: @ @ tarkoittaa verkkotunnuksesi juurta. Cloudflare lisää verkkotunnuksen automaattisesti, joten älä kirjoita sitä itse.
6. Cloudflare näyttää CAA-kentät käyttäjäystävällisinä valikkoina. Aseta ne seuraavasti:
   • Flags: 0
   • Tag: valitse Only allow specific hostnames (tämä on issue-tagi)
   • CA domain name (arvo): letsencrypt.org
7. Jätä TTL asetukselle Auto.
8. Napsauta Save.

Useamman varmenneviranomaisen salliminen

Useimmilla verkkotunnuksilla käytetään useampaa kuin yhtä viranomaista ajan mittaan — esimerkiksi ilmainen varmenne tänään ja maksullinen myöhemmin, tai eri varmenne erilliselle palvelulle. Useiden sallimiseksi lisää erillinen CAA-tietue jokaiselle. Ne käyttävät kaikki samaa @-nimeä, 0-flagsia ja issue-tagia — vain CA domain -arvo muuttuu:

• yksi tietue arvolla letsencrypt.org
• yksi tietue arvolla digicert.com

Yhdessä nämä sanovat molemmat näistä viranomaisista ovat sallittuja, ei muita. Niitä ei yhdistetä yhdeksi tietueeksi.

Cloudflare-erityiset virheet

• Suurin virhe on sulkea oma viranomainen ulos. Jos lisäät CAA-tietueen, jossa on vain digicert.com, mutta varmenteesi uusitaan oikeasti Let’s Encryptin kautta, seuraava uusinta epäonnistuu hiljaisesti ja lukkokuvake voi rikkoutua viikkoja myöhemmin. Sisällytä aina jokainen oikeasti käyttämäsi viranomainen ennen tallentamista.
• Huomio Cloudflaren omaan SSL:ään. Jos liikenne kulkee Cloudflaren kautta (oranssi pilvi), Cloudflaren täytyy pystyä hankkimaan reunavarmenteita. CAA-tietue, joka sulkee pois Cloudflaren käyttämät viranomaiset, voi rikkoa tämän — epävarmoissa tilanteissa salli Let’s Encrypt ja Google Trust Services (pki.goog) omasi lisäksi, tai anna Cloudflaren hallita CAA:ta.
• Name on @, ei verkkotunnuksesi. Käytä @ juurelle; Cloudflare lisää verkkotunnuksen itse.
• Tagin sanamuoto eroaa. Cloudflare merkitsee issue-tagin nimellä Only allow specific hostnames valikossaan. Se on oikea valinta normaalikäyttöön.
• Flags on 0 normaalille tietueelle. Toinen arvo, 128, on tiukka tila — käytä sitä vain tarkoituksella.
• Käytä pelkkää verkkotunnusta, ei URL-osoitetta. Arvo on letsencrypt.org, ei koskaan https://letsencrypt.org eikä www..
• CAA-tietuetta ei voi välittää proxyn kautta. CAA on puhdas DNS-tietue — oranssia/harmaata pilvi-painiketta ei tarvitse miettiä tässä yhteydessä.
• Anna muutoksille aikaa. DNS-muutokset voivat kestää muutamasta minuutista pariin tuntiin. Olemassa olevat varmenteet pysyvät voimassa; CAA tarkistetaan vain, kun uusi myönnetään tai uusitaan.

Tarkista, että se toimi

Kun tietue on tallennettu ja levinnyt, aja ilmainen tarkistus tällä sivustolla. Se kertoo selkokielellä, onko CAA-tietueesi paikoillaan ja mitkä viranomaiset olet sallinut.

Valmis? Tarkista verkkotunnuksesi ilmaiseksi vahvistaaksesi, että se toimi — ja nähdäksesi koko arvosanasi kaikissa 34 tarkistuksessa.