Defaults.Exposed › सुधार › CAA रिकॉर्ड
CAA रिकॉर्ड को कैसे ठीक करें
एक CAA रिकॉर्ड आपके डोमेन सेटिंग में एक छोटा निर्देश है जो नाम देता है कि आपकी वेबसाइट के लिए 'padlock' सुरक्षा प्रमाणपत्र जारी करने की अनुमति किन certificate कंपनियों को है। इसके चालू होने पर, कोई अन्य कंपनी चुपचाप आपके नाम पर एक वैध प्रमाणपत्र नहीं बना सकती।
आपके व्यवसाय के लिए मुख्य बात: एक CAA रिकॉर्ड के बिना, दुनिया भर की सैकड़ों certificate कंपनियों में से लगभग कोई भी आपके डोमेन के लिए एक वास्तविक, पूरी तरह से भरोसेमंद padlock प्रमाणपत्र जारी कर सकती है — एक स्कैमर को आपके ग्राहकों के लॉगिन और कार्ड विवरण काटने के लिए आपकी साइट का एक निर्दोष, पूरी तरह 'secure' दिखने वाला क्लोन खड़ा करने देती है, जिसमें स्क्रीन पर चेतावनी देने के लिए कुछ नहीं होता।
यह आपको क्या खर्च कर सकता है
- एक स्कैमर आपकी साइट की एक कॉपी के लिए एक वास्तविक प्रमाणपत्र प्राप्त करता है, इसलिए यह हरा padlock और HTTPS दिखाता है — आपके ग्राहक कुछ भी गलत नहीं देखते, अपने पासवर्ड और कार्ड नंबर टाइप करते हैं।
- आपके ग्राहक आपके login पेज की एक pixel-perfect look-alike के माध्यम से phish किए जाते हैं।
- एक संभावित ग्राहक की सुरक्षा या खरीद टीम हस्ताक्षर करने से पहले आपके डोमेन की त्वरित जांच चलाती है, कोई CAA सुरक्षा नहीं देखती।
- दुनिया की एक certificate कंपनी से समझौता होता है (DigiNotar, Comodo, Symantec के साथ यह बार-बार हुआ है), और क्योंकि आपने कभी नहीं कहा कि आपके लिए कार्य करने की अनुमति किसे है, आपका डोमेन उजागर होता है।
यह क्यों मायने रखता है। अभी दरवाजा पूरी तरह खुला है: पृथ्वी पर कोई भी certificate कंपनी आपके साइट का दावा करने वाली साइट के लिए वाउच कर सकती है, चाहे आपने कभी उनसे व्यवहार किया हो या नहीं। एक CAA रिकॉर्ड उस दरवाजे को बंद करता है ताकि केवल आपका चुना हुआ प्रदाता प्रमाणपत्र जारी कर सके।
इसे कैसे ठीक करें, चरण दर चरण
- अपने certificate authorities नोट करें. सूचीबद्ध करें कि कौन से CA आपके प्रमाणपत्र जारी करते हैं — जैसे Let's Encrypt या आपके होस्ट का CA।
- एक CAA रिकॉर्ड जोड़ें. अपने डोमेन रूट पर केवल उन CAs को अधिकृत करने वाला एक CAA रिकॉर्ड बनाएं, जैसे 0 issue "letsencrypt.org"।
- wildcards और alerts कवर करें. यदि आप wildcard certs उपयोग करते हैं तो issuewild जोड़ें, और उल्लंघनों की सूचना के लिए एक iodef mailto।
- renewals lock out न करें. सुनिश्चित करें कि आप वास्तव में उपयोग करने वाला हर CA सूचीबद्ध है, या भविष्य के certificate renewals विफल होंगे।
- सत्यापित करें कि यह काम किया. पुनः जांचें यह पुष्टि करने के लिए कि CAA रिकॉर्ड मौजूद और well-formed है।
CAA रिकॉर्ड, सरल शब्दों में
हर सुरक्षित वेबसाइट के पास एक प्रमाणपत्र होता है — ब्राउज़र में padlock के पीछे की चीज़। वे प्रमाणपत्र certificate authorities (CAs) नामक विशेषज्ञ फर्मों द्वारा वितरित किए जाते हैं: Let’s Encrypt, DigiCert, Sectigo, Google Trust Services जैसे नाम।
यहाँ वह भाग है जो अधिकांश व्यवसाय स्वामियों को कभी नहीं बताया गया: डिफ़ॉल्ट रूप से, दुनिया भर की इन सैकड़ों certificate authorities में से प्रत्येक आपके डोमेन के लिए एक प्रमाणपत्र जारी करने की अनुमति है। एक CAA रिकॉर्ड एक-पंक्ति नोट है जो आप अपने डोमेन की DNS सेटिंग में जोड़ते हैं जो प्रभावी रूप से कहता है: “केवल ये प्रदाता मेरे लिए प्रमाणपत्र जारी करने की अनुमति हैं।“
यह आपको क्या नुकसान पहुंचा सकता है
-
निर्दोष नकल। एक स्कैमर एक look-alike पते के लिए एक वास्तविक प्रमाणपत्र प्राप्त करता है और आपके login या checkout पेज का एक परफेक्ट क्लोन खड़ा करता है — padlock और सब कुछ।
-
आपके नाम पर phishing अभियान। हमलावर उनके certificated clone से link करने वाले “कृपया अपना खाता पुष्टि करें” ईमेल भेजते हैं।
-
एक checklist पर रुका सौदा। एक बड़े ग्राहक की सुरक्षा या खरीद टीम हस्ताक्षर करने से पहले आपके डोमेन को स्कैन करती है।
-
किसी और के उल्लंघन से पकड़ा जाना। एक certificate authority जिससे आपने कभी व्यवहार नहीं किया समझौता होती है।
-
Wildcard अंधा स्थान। Wildcards के लिए एक
issuewildनियम के बिना, एक हमलावर एक wildcard प्रमाणपत्र प्राप्त करके आपके हर subdomain की कुंजी प्रभावी रूप से पाता है।
यह वास्तव में क्या है
एक CAA रिकॉर्ड आपके डोमेन के DNS में रहता है। प्रत्येक रिकॉर्ड में तीन भाग होते हैं: एक flag, एक tag, और एक value।
issue— आपके डोमेन के लिए सामान्य प्रमाणपत्र जारी करने की अनुमति वाली certificate authority का नाम देता है।issuewild— wildcard प्रमाणपत्रों को नियंत्रित करता है।iodef— एक वैकल्पिक संपर्क पता जहाँ आपको सूचित किया जाएगा यदि आपकी CAA नीति के कारण एक certificate authority अनुरोध अस्वीकार करती है।
अच्छा कैसा दिखता है: कम से कम एक issue (या issuewild) रिकॉर्ड मौजूद है, आपके वास्तव में उपयोग किए जाने वाले प्रदाता(ओं) का नाम देते हुए।
इसे कैसे ठीक करें (मुफ्त, ~5 मिनट)
इस अनुभाग को जो भी आपके डोमेन या वेबसाइट प्रबंधित करता है उसे सौंपें — सुधार मुफ्त है।
चरण 1 — पता करें कि आप वास्तव में कौन सी certificate authority उपयोग करते हैं।
- Let’s Encrypt — कई होस्ट और control panels द्वारा उपयोग किया जाता है →
letsencrypt.org - Cloudflare (यदि यह आपका edge certificate जारी करता है) →
letsencrypt.org,digicert.com,comodoca.com,pki.goog, औरssl.com - Google Workspace / Google Trust Services →
pki.goog - DigiCert →
digicert.com - Microsoft 365 / Azure → आमतौर पर
digicert.com
चरण 2 — अपने DNS प्रदाता पर लॉग इन करें।
चरण 3 — प्रत्येक प्रदाता के लिए एक issue रिकॉर्ड जोड़ें। उदाहरण के लिए Let’s Encrypt:
example.com. CAA 0 issue "letsencrypt.org"
चरण 4 — Wildcard प्रमाणपत्रों को नियंत्रित करें। यदि आप wildcards नहीं उपयोग करते, तो उन्हें पूरी तरह ब्लॉक करें:
example.com. CAA 0 issuewild ";"
चरण 5 — (अनुशंसित) एक notification पता जोड़ें:
example.com. CAA 0 iodef "mailto:[email protected]"
चरण 6 — सहेजें और सत्यापित करें। dig CAA example.com चलाएं और पुष्टि करें कि आपके रिकॉर्ड दिखाई देते हैं।
सामान्य गलतियाँ
- गलत CA सूचीबद्ध करना — या एक भूलना। यदि आप एक से अधिक issuer उपयोग करते हैं, तो सभी को सूचीबद्ध करें।
issueसेट करना लेकिन wildcards को अनदेखा करना।- CAA को गलत नाम पर रखना। अपने डोमेन के शीर्ष (“apex”) पर CAA सेट करें।
- यह मानना कि आपके प्लेटफ़ॉर्म ने पहले से इसे किया। Cloudflare, Google और Microsoft आपके लिए CAA रिकॉर्ड नहीं जोड़ते।
- बिना monitoring के इसे one-and-done मानना।
अपने होस्ट पर इसे सेट करें
लोकप्रिय प्रदाताओं के लिए चरण-दर-चरण:
- GoDaddy पर CAA सेट करें
- Namecheap पर CAA सेट करें
- Cloudflare पर CAA सेट करें
- AWS Route 53 पर CAA सेट करें
अक्सर पूछे जाने वाले प्रश्न
मैं तकनीकी नहीं हूँ — क्या मैं इसे खुद संभाल सकता हूँ?
आपको विवरण समझने की जरूरत नहीं है, लेकिन सुधार आपके डोमेन की DNS सेटिंग के अंदर एक छोटा बदलाव है, इसलिए जो भी आपकी वेबसाइट या डोमेन प्रबंधित करता है उसे सौंपना सबसे अच्छा है।
क्या इसे जोड़ने से मेरी वेबसाइट या मेरा प्रमाणपत्र टूट जाएगा?
नहीं — जब तक आप वास्तव में उपयोग किए जाने वाले certificate provider को सूचीबद्ध करते हैं, तब तक सब कुछ पहले की तरह ही काम करता है।
यदि प्रमाणपत्र आजकल स्वचालित रूप से जारी होते हैं, तो मुझे अभी भी इसकी क्यों जरूरत है?
स्वचालित प्रमाणपत्र ठीक और सुविधाजनक हैं — समस्या यह है कि सिस्टम डिफ़ॉल्ट रूप से सभी के लिए खुला है, जिसमें आपका नाटक करने वाले भी शामिल हैं।
क्या यह Google ranking या इस रिपोर्ट पर मेरे ग्रेड को प्रभावित करता है?
यह यहाँ आपके सुरक्षा ग्रेड को प्रभावित करता है — एक लापता CAA रिकॉर्ड एक स्कोर किया गया आइटम है, मध्यम-गंभीरता अंतराल के रूप में चिह्नित है।
'issue' और 'issuewild' के बीच क्या अंतर है?
एक 'issue' रिकॉर्ड आपके डोमेन और उसके subdomains के लिए सामान्य प्रमाणपत्रों को नियंत्रित करता है। एक 'issuewild' रिकॉर्ड wildcard प्रमाणपत्रों को नियंत्रित करता है — एक प्रमाणपत्र जो एक साथ हर संभावित subdomain को कवर करता है।
हम Cloudflare / Google Workspace / Microsoft 365 उपयोग करते हैं — क्या वह पहले से कवर करता है?
स्वचालित रूप से नहीं। वे प्लेटफ़ॉर्म आपके प्रमाणपत्र प्रबंधित करते हैं लेकिन आपके लिए CAA रिकॉर्ड नहीं जोड़ते।