כיצד להגדיר רשומת CAA ב-Cloudflare

הוסף רשומת CAA ב-Cloudflare כדי לקבוע אילו רשויות אישורים מורשות להנפיק אישורי SSL עבור הדומיין שלך.

למה זה חשוב לעסק שלך

רשומת CAA מציינת אילו רשויות אישורים (החברות שמנפיקות את אישורי SSL/TLS שמאחורי המנעול בדפדפן) מורשות להנפיק אישור עבור הדומיין שלך. כל רשות שמקיימת את הכללים חייבת לבדוק רשומה זו ולסרב לבקשה אם היא אינה ברשימה.

במילים פשוטות: ללא רשומת CAA, כל אחת ממאות רשויות האישורים בעולם עלולה להיות מרומה או לטעות ולהנפיק אישור תקף עבור הדומיין שלך — שתוקף יכול להשתמש בו כדי להתחזות לאתר שלך בצורה משכנעת. רשומת CAA סוגרת את הדלת הזו על-ידי הצהרה שרק רשויות אלה, ואף אחת אחרת, רשאיות. זה בחינם ולוקח כמה דקות.

וודא ש-Cloudflare מנהל את ה-DNS שלך

זה יעבוד רק אם Cloudflare הוא שמטפל ב-DNS של הדומיין שלך. Cloudflare הוא מארח ה-DNS שלך, וה-DNS שלו פעיל רק כאשר שרתי השמות של הדומיין מצביעים לשרתי Cloudflare המוצגים בלוח הבקרה שלך. פתח את הדומיין ב-Cloudflare ובדוק בדף Overview שהוא פעיל. אם שרתי השמות מצביעים למקום אחר, הוסף את רשומת CAA אצל הספק שמנהל את ה-DNS שלך.

ברר קודם מהי רשות האישורים שלך

לפני שתוסיף דבר, ברר איזו רשות מנפיקה את האישור שלך, אחרת אתה עלול לנעול את הספק שלך עצמו. ערכים נפוצים:

letsencrypt.org — Let’s Encrypt (בשימוש ברוב האישורים החינמיים והאוטומטיים)
digicert.com — DigiCert
sectigo.com — Sectigo
globalsign.com — GlobalSign
pki.goog — Google Trust Services
amazon.com — Amazon (AWS Certificate Manager)

הערה בנוגע ל-Cloudflare: אם אתה משתמש ב-SSL המובנה של Cloudflare (הגדרת ענן כתום עם פרוקסי), Cloudflare מנפיק אישורים דרך כמה רשויות בשמך — ודא שכל רשומת CAA שתוסיף עדיין מאפשרת לאלה, או תן ל-Cloudflare לנהל את CAA עבורך. אם אינך בטוח, שאל את מי שהגדיר את האירוח שלך, או בדוק את האישור בדפדפן שלך.

שלב אחר שלב ב-Cloudflare

היכנס ל-Cloudflare ובחר את הדומיין שלך.
בתפריט הצד, עבור להגדרות ה-DNS (חפש DNS / Records).
לחץ Add record.
הגדר את Type ל-CAA.
בשדה Name, הזן: @ ה-@ מסמל את שורש הדומיין שלך. Cloudflare מוסיף את הדומיין אוטומטית, לכן אל תקליד את שם הדומיין אחריו.
Cloudflare מציג את שדות CAA כתפריטים ידידותיים. הגדר אותם כך:
- Flags: 0
- Tag: בחר Only allow specific hostnames (זהו תג ה-issue)
- CA domain name (הערך): letsencrypt.org
השאר את TTL על Auto.
לחץ Save.

אפשר יותר מרשות אישורים אחת

רוב הדומיינים משתמשים ביותר מרשות אחת לאורך זמן — לדוגמה, אישור חינמי היום ואישור בתשלום מאוחר יותר, או אחר לשירות נפרד. כדי לאפשר כמה רשויות, הוסף רשומת CAA נפרדת לכל אחת. כולן משתמשות באותו שם @, דגלים 0 ותג issue — רק ערך ה-CA domain משתנה:

רשומה אחת עם ערך letsencrypt.org
רשומה אחת עם ערך digicert.com

יחד הן אומרות שתי רשויות אלה מורשות, ואף אחת אחרת. אין לשלב אותן לרשומה אחת.

טעויות נפוצות ב-Cloudflare

הטעות הגדולה ביותר היא נעילת הספק שלך עצמו. אם הוספת רשומת CAA שמציינת רק digicert.com אך האישור שלך מתחדש דרך Let’s Encrypt, החידוש הבא ייכשל בשקט ומנעול הדפדפן עלול להישבר שבועות לאחר מכן. כלול תמיד את כל הרשויות שאתה באמת משתמש בהן לפני השמירה.
שים לב ל-SSL המובנה של Cloudflare. אם התנועה שלך עוברת דרך Cloudflare (ענן כתום), Cloudflare צריך להיות מסוגל להשיג אישורי edge. הוספת רשומת CAA שמוציאה את הרשויות שבהן Cloudflare משתמש עלולה לשבור זאת — כשיש ספק, אפשר גם Let’s Encrypt וגם Google Trust Services (pki.goog) יחד עם שלך, או תן ל-Cloudflare לנהל CAA.
שדה Name הוא @, לא הדומיין שלך. השתמש ב-@ לשורש; Cloudflare מוסיף את הדומיין בעצמו.
הניסוח של ה-Tag שונה. Cloudflare מסמן את תג ה-issue כ-Only allow specific hostnames בתפריט שלו. זוהי הבחירה הנכונה לשימוש רגיל.
Flags הוא 0 לרשומה רגילה. הערך האחר, 128, הוא מצב קשוח — השתמש בו רק בכוונה.
השתמש בדומיין הגולמי, לא ב-URL. הערך הוא letsencrypt.org, לעולם לא https://letsencrypt.org ולעולם לא www..
אין פרוקסי על רשומת CAA. CAA היא רשומת DNS טהורה — אין כאן טוגל עם ענן כתום/אפור לדאוג לו.
תן זמן. שינויי DNS יכולים לקחת מספר דקות עד שעתיים להתפשט. אישורים קיימים ממשיכים לעבוד; CAA נבדק רק בעת הנפקת או חידוש אישור חדש.

אמת שזה עבד

לאחר השמירה וההתפשטות, הפעל את הבדיקה החינמית באתר זה. היא תאמר לך בשפה ברורה האם רשומת CAA שלך קיימת ואילו רשויות אישרת.

סיימתם? בדקו את הדומיין שלכם בחינם כדי לאשר שזה עבד — וראו את הציון המלא שלכם על פני כל 34 הבדיקות.