Defaults.Exposed › Asennus › CAA

CAA-tietueen lisääminen AWS Route 53:ssa

Lisää CAA-tietue AWS Route 53:een ja määritä, millä varmenneviranomaisilla on lupa myöntää SSL-varmenteita verkkotunnuksellesi.

Miksi tämä on tärkeää yrityksellesi

CAA-tietue nimeää varmenneviranomaiset (yritykset, jotka myöntävät selaimen lukkokuvakkeen takana olevat SSL/TLS-varmenteet) joilla on lupa myöntää varmenne verkkotunnuksellesi. Jokaisen sääntöjä noudattavan viranomaisen täytyy tarkistaa tämä tietue ensin ja kieltäytyä pyynnöstä, jos pyytäjä ei ole listalla.

Käytännössä: ilman CAA-tietuetta mikä tahansa sadoista maailmanlaajuisista varmenneviranomaisista saattaa tulla huijatuksi tai tehdä virheen ja myöntää jonkun käyttöön voimassaolevan varmenteen verkkotunnuksellesi — jota hyökkääjä voisi käyttää vakuuttavasti esiintyäkseen verkkosivustosi nimissä. CAA-tietue sulkee tämän aukon sanomalla vain nämä viranomaiset, ei kukaan muu. Se on ilmainen ja vie vain muutaman minuutin.

Varmista, että Route 53 hallinnoi DNS:äsi

Tämä toimii vain, jos Route 53 vastaa verkkotunnuksesi DNS-kyselyihin. Route 53:ssa tietueesi sijaitsevat verkkotunnuksen isäntävyöhykkeessä, ja tämä vyöhyke on aktiivinen vain, kun verkkotunnuksesi nimipalvelimet osoittavat vyöhykkeessä lueteltuihin neljään Route 53 -nimipalvelimeen. Avaa isäntävyöhyke, tarkista sen NS-tietue ja varmista, että nämä nimipalvelimet on asetettu rekisteröijälläsi. Jos nimipalvelimesi osoittavat muualle, lisää CAA-tietue sillä palveluntarjoajalla, joka hallinnoi DNS:äsi.

Selvitä ensin varmenneviranomaisesi

Ennen kuin lisäät mitään, selvitä, mikä viranomainen myöntää varmenteesi — muutoin saatat sulkea oman palveluntarjoajasi ulos. Yleisiä arvoja:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (käytetään useimmissa ilmaisissa ja automaattisissa varmenteissa)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Jos käytät AWS Certificate Manageria varmenteiden myöntämiseen, sinun täytyy sallia amazon.com tai ACM ei pysty myöntämään. Jos olet epävarma, kysy hosting-palvelusi asettajalta tai tarkista varmenne selaimessasi (napsauta lukkokuvaketta ja katso varmenteen myöntäjä).

Vaiheittaiset ohjeet Route 53:ssa

1. Kirjaudu AWS Management Consoleen ja avaa Route 53.
2. Valitse vasemmasta valikosta Hosted zones, sitten valitse verkkotunnuksesi.
3. Napsauta Create record.
4. Jätä Record name -kenttä tyhjäksi, jotta tietue koskee verkkotunnuksesi juurta (apexia). Älä kirjoita verkkotunnustasi tähän.
5. Aseta Record type arvoon CAA.
6. Kirjoita Value-kenttään tietue Route 53:n kolmiosaisessa muodossa yhdellä rivillä: 0 issue "letsencrypt.org" Tämä on flags (0), sitten tagi (issue), sitten varmenneviranomainen kaksinkertaisissa lainausmerkeissä.
7. Jätä TTL oletusasetukselle (300 sekuntia sopii hyvin).
8. Valitse Simple routing jos kysytään, sitten napsauta Create records.

Useamman varmenneviranomaisen salliminen

Useimmilla verkkotunnuksilla käytetään useampaa kuin yhtä viranomaista ajan mittaan — esimerkiksi AWS Certificate Manager yhdelle palvelulle ja Let’s Encrypt toiselle. Route 53:ssa lisäät ylimääräiset viranomaiset lisäriveinä saman CAA-tietueen Value-kenttään, yksi per rivi:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Yhdessä nämä sanovat molemmat näistä viranomaisista ovat sallittuja, ei muita. Kukin rivi on erillinen issue-merkintä; kahta viranomaista ei laiteta samalle riville.

Route 53 -erityiset virheet

• Suurin virhe on sulkea oma viranomainen ulos. Jos lisäät CAA-tietueen, jossa on vain digicert.com, mutta varmenteesi uusitaan oikeasti Let’s Encryptin tai ACM:n kautta, seuraava uusinta epäonnistuu hiljaisesti ja lukkokuvake voi rikkoutua viikkoja myöhemmin. Sisällytä aina jokainen oikeasti käyttämäsi viranomainen ennen tallentamista.
• Salli amazon.com ACM:lle. Jos varmenteesi tulevat AWS Certificate Managerilta eikä CAA-tietueessa ole amazon.com, ACM:n validointi ja uusinta epäonnistuvat. Tämä on yleisin Route 53 -erityinen ongelma.
• CA:n ympärillä täytyy olla lainausmerkit. Route 53 odottaa 0 issue "letsencrypt.org" muodossa, jossa viranomainen on kaksinkertaisissa lainausmerkeissä. Niiden puuttuminen tekee tietueesta virheellisen.
• Jätä tietueen nimi tyhjäksi juurelle. Tyhjä nimi sijoittaa tietueen apexiin; verkkotunnuksen kirjoittaminen sinne luo sen väärään paikkaan.
• Flags on 0 normaalille tietueelle. Toinen arvo, 128, on tiukka tila — käytä sitä vain tarkoituksella.
• Käytä pelkkää verkkotunnusta, ei URL-osoitetta. Arvo on letsencrypt.org, ei koskaan https://letsencrypt.org eikä www..
• Anna muutoksille aikaa. DNS-muutokset voivat kestää muutamasta minuutista pariin tuntiin. Olemassa olevat varmenteet pysyvät voimassa; CAA tarkistetaan vain, kun uusi myönnetään tai uusitaan.

Tarkista, että se toimi

Kun tietue on tallennettu ja levinnyt, aja ilmainen tarkistus tällä sivustolla. Se kertoo selkokielellä, onko CAA-tietueesi paikoillaan ja mitkä viranomaiset olet sallinut.

Valmis? Tarkista verkkotunnuksesi ilmaiseksi vahvistaaksesi, että se toimi — ja nähdäksesi koko arvosanasi kaikissa 34 tarkistuksessa.