Defaults.Exposed

Defaults.Exposedसुधार › CAA रिकॉर्ड

CAA रिकॉर्ड को कैसे ठीक करें

एक CAA रिकॉर्ड आपके डोमेन सेटिंग में एक छोटा निर्देश है जो नाम देता है कि आपकी वेबसाइट के लिए 'padlock' सुरक्षा प्रमाणपत्र जारी करने की अनुमति किन certificate कंपनियों को है। इसके चालू होने पर, कोई अन्य कंपनी चुपचाप आपके नाम पर एक वैध प्रमाणपत्र नहीं बना सकती।

आपके व्यवसाय के लिए मुख्य बात: एक CAA रिकॉर्ड के बिना, दुनिया भर की सैकड़ों certificate कंपनियों में से लगभग कोई भी आपके डोमेन के लिए एक वास्तविक, पूरी तरह से भरोसेमंद padlock प्रमाणपत्र जारी कर सकती है — एक स्कैमर को आपके ग्राहकों के लॉगिन और कार्ड विवरण काटने के लिए आपकी साइट का एक निर्दोष, पूरी तरह 'secure' दिखने वाला क्लोन खड़ा करने देती है, जिसमें स्क्रीन पर चेतावनी देने के लिए कुछ नहीं होता।

यह आपको क्या खर्च कर सकता है

यह क्यों मायने रखता है। अभी दरवाजा पूरी तरह खुला है: पृथ्वी पर कोई भी certificate कंपनी आपके साइट का दावा करने वाली साइट के लिए वाउच कर सकती है, चाहे आपने कभी उनसे व्यवहार किया हो या नहीं। एक CAA रिकॉर्ड उस दरवाजे को बंद करता है ताकि केवल आपका चुना हुआ प्रदाता प्रमाणपत्र जारी कर सके।

इसे कैसे ठीक करें, चरण दर चरण

  1. अपने certificate authorities नोट करें. सूचीबद्ध करें कि कौन से CA आपके प्रमाणपत्र जारी करते हैं — जैसे Let's Encrypt या आपके होस्ट का CA।
  2. एक CAA रिकॉर्ड जोड़ें. अपने डोमेन रूट पर केवल उन CAs को अधिकृत करने वाला एक CAA रिकॉर्ड बनाएं, जैसे 0 issue "letsencrypt.org"।
  3. wildcards और alerts कवर करें. यदि आप wildcard certs उपयोग करते हैं तो issuewild जोड़ें, और उल्लंघनों की सूचना के लिए एक iodef mailto।
  4. renewals lock out न करें. सुनिश्चित करें कि आप वास्तव में उपयोग करने वाला हर CA सूचीबद्ध है, या भविष्य के certificate renewals विफल होंगे।
  5. सत्यापित करें कि यह काम किया. पुनः जांचें यह पुष्टि करने के लिए कि CAA रिकॉर्ड मौजूद और well-formed है।

CAA रिकॉर्ड, सरल शब्दों में

हर सुरक्षित वेबसाइट के पास एक प्रमाणपत्र होता है — ब्राउज़र में padlock के पीछे की चीज़। वे प्रमाणपत्र certificate authorities (CAs) नामक विशेषज्ञ फर्मों द्वारा वितरित किए जाते हैं: Let’s Encrypt, DigiCert, Sectigo, Google Trust Services जैसे नाम।

यहाँ वह भाग है जो अधिकांश व्यवसाय स्वामियों को कभी नहीं बताया गया: डिफ़ॉल्ट रूप से, दुनिया भर की इन सैकड़ों certificate authorities में से प्रत्येक आपके डोमेन के लिए एक प्रमाणपत्र जारी करने की अनुमति है। एक CAA रिकॉर्ड एक-पंक्ति नोट है जो आप अपने डोमेन की DNS सेटिंग में जोड़ते हैं जो प्रभावी रूप से कहता है: “केवल ये प्रदाता मेरे लिए प्रमाणपत्र जारी करने की अनुमति हैं।“

यह आपको क्या नुकसान पहुंचा सकता है

यह वास्तव में क्या है

एक CAA रिकॉर्ड आपके डोमेन के DNS में रहता है। प्रत्येक रिकॉर्ड में तीन भाग होते हैं: एक flag, एक tag, और एक value

अच्छा कैसा दिखता है: कम से कम एक issue (या issuewild) रिकॉर्ड मौजूद है, आपके वास्तव में उपयोग किए जाने वाले प्रदाता(ओं) का नाम देते हुए।

इसे कैसे ठीक करें (मुफ्त, ~5 मिनट)

इस अनुभाग को जो भी आपके डोमेन या वेबसाइट प्रबंधित करता है उसे सौंपें — सुधार मुफ्त है।

चरण 1 — पता करें कि आप वास्तव में कौन सी certificate authority उपयोग करते हैं।

चरण 2 — अपने DNS प्रदाता पर लॉग इन करें।

चरण 3 — प्रत्येक प्रदाता के लिए एक issue रिकॉर्ड जोड़ें। उदाहरण के लिए Let’s Encrypt:

example.com.   CAA   0 issue "letsencrypt.org"

चरण 4 — Wildcard प्रमाणपत्रों को नियंत्रित करें। यदि आप wildcards नहीं उपयोग करते, तो उन्हें पूरी तरह ब्लॉक करें:

example.com.   CAA   0 issuewild ";"

चरण 5 — (अनुशंसित) एक notification पता जोड़ें:

example.com.   CAA   0 iodef "mailto:[email protected]"

चरण 6 — सहेजें और सत्यापित करें। dig CAA example.com चलाएं और पुष्टि करें कि आपके रिकॉर्ड दिखाई देते हैं।

सामान्य गलतियाँ

अपने होस्ट पर इसे सेट करें

लोकप्रिय प्रदाताओं के लिए चरण-दर-चरण:

अक्सर पूछे जाने वाले प्रश्न

मैं तकनीकी नहीं हूँ — क्या मैं इसे खुद संभाल सकता हूँ?

आपको विवरण समझने की जरूरत नहीं है, लेकिन सुधार आपके डोमेन की DNS सेटिंग के अंदर एक छोटा बदलाव है, इसलिए जो भी आपकी वेबसाइट या डोमेन प्रबंधित करता है उसे सौंपना सबसे अच्छा है।

क्या इसे जोड़ने से मेरी वेबसाइट या मेरा प्रमाणपत्र टूट जाएगा?

नहीं — जब तक आप वास्तव में उपयोग किए जाने वाले certificate provider को सूचीबद्ध करते हैं, तब तक सब कुछ पहले की तरह ही काम करता है।

यदि प्रमाणपत्र आजकल स्वचालित रूप से जारी होते हैं, तो मुझे अभी भी इसकी क्यों जरूरत है?

स्वचालित प्रमाणपत्र ठीक और सुविधाजनक हैं — समस्या यह है कि सिस्टम डिफ़ॉल्ट रूप से सभी के लिए खुला है, जिसमें आपका नाटक करने वाले भी शामिल हैं।

क्या यह Google ranking या इस रिपोर्ट पर मेरे ग्रेड को प्रभावित करता है?

यह यहाँ आपके सुरक्षा ग्रेड को प्रभावित करता है — एक लापता CAA रिकॉर्ड एक स्कोर किया गया आइटम है, मध्यम-गंभीरता अंतराल के रूप में चिह्नित है।

'issue' और 'issuewild' के बीच क्या अंतर है?

एक 'issue' रिकॉर्ड आपके डोमेन और उसके subdomains के लिए सामान्य प्रमाणपत्रों को नियंत्रित करता है। एक 'issuewild' रिकॉर्ड wildcard प्रमाणपत्रों को नियंत्रित करता है — एक प्रमाणपत्र जो एक साथ हर संभावित subdomain को कवर करता है।

हम Cloudflare / Google Workspace / Microsoft 365 उपयोग करते हैं — क्या वह पहले से कवर करता है?

स्वचालित रूप से नहीं। वे प्लेटफ़ॉर्म आपके प्रमाणपत्र प्रबंधित करते हैं लेकिन आपके लिए CAA रिकॉर्ड नहीं जोड़ते।