Defaults.Exposed › הגדרה › CAA

כיצד להגדיר רשומת CAA ב-AWS Route 53

הוסף רשומת CAA ב-AWS Route 53 כדי לקבוע אילו רשויות אישורים מורשות להנפיק אישורי SSL עבור הדומיין שלך.

למה זה חשוב לעסק שלך

רשומת CAA מציינת אילו רשויות אישורים (החברות שמנפיקות את אישורי SSL/TLS שמאחורי המנעול בדפדפן) מורשות להנפיק אישור עבור הדומיין שלך. כל רשות שמקיימת את הכללים חייבת לבדוק רשומה זו ולסרב לבקשה אם היא אינה ברשימה.

במילים פשוטות: ללא רשומת CAA, כל אחת ממאות רשויות האישורים בעולם עלולה להיות מרומה או לטעות ולהנפיק אישור תקף עבור הדומיין שלך — שתוקף יכול להשתמש בו כדי להתחזות לאתר שלך בצורה משכנעת. רשומת CAA סוגרת את הדלת הזו על-ידי הצהרה שרק רשויות אלה, ואף אחת אחרת, רשאיות. זה בחינם ולוקח כמה דקות.

וודא ש-Route 53 מנהל את ה-DNS שלך

זה יעבוד רק אם Route 53 הוא שמטפל ב-DNS של הדומיין שלך. ב-Route 53 הרשומות שלך נמצאות בתוך hosted zone לדומיין, ואותה zone פעילה רק כאשר שרתי השמות של הדומיין מצביעים לארבעת שרתי השמות של Route 53 המפורטים ב-zone. פתח את ה-hosted zone, בדוק את רשומת ה-NS שלה, ואמת ששרתי השמות הללו מוגדרים אצל הרשם שלך. אם שרתי השמות מצביעים למקום אחר, הוסף את רשומת CAA אצל הספק שמנהל את ה-DNS שלך.

ברר קודם מהי רשות האישורים שלך

לפני שתוסיף דבר, ברר איזו רשות מנפיקה את האישור שלך, אחרת אתה עלול לנעול את הספק שלך עצמו. ערכים נפוצים:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (בשימוש ברוב האישורים החינמיים והאוטומטיים)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

אם אתה משתמש ב-AWS Certificate Manager להנפקת אישורים, חייב לאפשר amazon.com אחרת ACM לא יוכל להנפיק. אם אינך בטוח, שאל את מי שהגדיר את האירוח שלך, או בדוק את האישור בדפדפן שלך.

שלב אחר שלב ב-Route 53

1. היכנס למסוף ניהול AWS ופתח את Route 53.
2. בתפריט הצד, בחר Hosted zones, ואז בחר את הדומיין שלך.
3. לחץ Create record.
4. השאר את שדה Record name ריק כדי להחיל את הרשומה על שורש הדומיין (apex). אל תקליד את שם הדומיין בשדה זה.
5. הגדר את Record type ל-CAA.
6. בתיבת Value, הזן את הרשומה בפורמט שלושת-החלקים של Route 53 בשורה אחת: 0 issue "letsencrypt.org" כלומר הדגלים (0), אז התג (issue), אז רשות האישורים במרכאות כפולות.
7. השאר את TTL בברירת המחדל (300 שניות בסדר).
8. בחר Simple routing אם מוצג, ואז לחץ Create records.

אפשר יותר מרשות אישורים אחת

רוב הדומיינים משתמשים ביותר מרשות אחת לאורך זמן — לדוגמה, AWS Certificate Manager לשירות אחד ו-Let’s Encrypt לאחר. ב-Route 53 מוסיפים את הרשויות הנוספות כשורות נוספות באותה תיבת Value של רשומת CAA, שורה אחת לכל רשות:

0 issue "amazon.com"
0 issue "letsencrypt.org"

יחד הן אומרות שתי רשויות אלה מורשות, ואף אחת אחרת. כל שורה היא ערך issue נפרד; אין לשים שתי רשויות באותה שורה.

טעויות נפוצות ב-Route 53

• הטעות הגדולה ביותר היא נעילת הספק שלך עצמו. אם הוספת רשומת CAA שמציינת רק digicert.com אך האישור שלך מתחדש דרך Let’s Encrypt או ACM, החידוש הבא ייכשל בשקט ומנעול הדפדפן עלול להישבר שבועות לאחר מכן. כלול תמיד את כל הרשויות שאתה באמת משתמש בהן לפני השמירה.
• אפשר amazon.com עבור ACM. אם האישורים שלך מגיעים מ-AWS Certificate Manager ורשומת CAA שלך אינה כוללת amazon.com, אימות וחידוש ACM ייכשלו. זוהי ה”מכשלה” הנפוצה ביותר ב-Route 53.
• המרכאות סביב ה-CA הן חובה. Route 53 מצפה ל-0 issue "letsencrypt.org" עם הרשות במרכאות כפולות. השמטתן הופכת את הרשומה לבלתי-תקפה.
• השאר את שם הרשומה ריק לשורש. שם ריק מחיל את הרשומה ב-apex; הקלדת שם הדומיין שם יוצרת אותה במקום הלא נכון.
• Flags הוא 0 לרשומה רגילה. הערך האחר, 128, הוא מצב קשוח — השתמש בו רק בכוונה.
• השתמש בדומיין הגולמי, לא ב-URL. הערך הוא letsencrypt.org, לעולם לא https://letsencrypt.org ולעולם לא www..
• תן זמן. שינויי DNS יכולים לקחת מספר דקות עד שעתיים להתפשט. אישורים קיימים ממשיכים לעבוד; CAA נבדק רק בעת הנפקת או חידוש אישור חדש.

אמת שזה עבד

לאחר השמירה וההתפשטות, הפעל את הבדיקה החינמית באתר זה. היא תאמר לך בשפה ברורה האם רשומת CAA שלך קיימת ואילו רשויות אישרת.

סיימתם? בדקו את הדומיין שלכם בחינם כדי לאשר שזה עבד — וראו את הציון המלא שלכם על פני כל 34 הבדיקות.