Defaults.Exposed › Postavljanje › CAA

Kako postaviti CAA zapis na Cloudflareу

Dodajte CAA zapis u Cloudflare kako biste kontrolirali koje certifikacijske ustanove smiju izdavati SSL certifikate za vašu domenu.

Zašto je ovo važno za vaše poslovanje

CAA zapis navodi koje certifikacijske ustanove (tvrtke koje izdaju SSL/TLS certifikate iza lokota u pregledniku) smiju izdati certifikat za vašu domenu. Svaka ustanova koja prati pravila mora prvo provjeriti ovaj zapis i odbiti zahtjev ako nije na popisu.

Jednostavno rečeno: bez CAA zapisa, bilo koja od stotina certifikacijskih ustanova diljem svijeta mogla bi biti prevarena ili pogriješiti i nekome predati valjani certifikat za vašu domenu — koji bi napadač mogao koristiti za uvjerljivo lažno predstavljanje vaše web stranice. CAA zapis zatvara ta vrata govoreći samo ove ustanove, nitko drugi. Besplatan je i traje nekoliko minuta.

Potvrdite da Cloudflare upravlja vašim DNS-om

Ovo funkcionira samo ako Cloudflare odgovara na DNS upite za vašu domenu. Cloudflare je vaš DNS domaćin, a njegov DNS je aktivan samo kada nameserveri vaše domene pokazuju na Cloudflare nameservere prikazane u vašoj nadzornoj ploči. Otvorite svoju domenu u Cloudflareу i provjerite stranicu Overview kako biste potvrdili da je Cloudflare aktivan. Ako nameserveri pokazuju drugamo, dodajte CAA zapis kod pružatelja koji zapravo upravlja vašim DNS-om.

Najprije saznajte svoju certifikacijsku ustanovu

Prije nego što išta dodate, saznajte koja ustanova izdaje vaš certifikat, ili riskirate isključiti vlastitog pružatelja. Uobičajene vrijednosti:

• letsencrypt.org — Let’s Encrypt (koriste ga većina besplatnih i automatiziranih certifikata)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Napomena za Cloudflare: ako koristite Cloudflareov vlastiti SSL (proxied orange-cloud postav), Cloudflare izdaje certifikate putem nekoliko ustanova u vaše ime — pobrinite se da svaki CAA zapis koji dodate i dalje dopušta te ustanove, ili prepustite Cloudflareu upravljanje CAA-om. Ako niste sigurni, pitajte onoga tko je postavio vaš hosting, ili provjerite certifikat u pregledniku (kliknite lokot, zatim pregledajte izdavatelja certifikata).

Korak po korak na Cloudflareу

1. Prijavite se na Cloudflare i odaberite svoju domenu.
2. U lijevom izborniku idite na DNS postavke (potražite DNS / Records).
3. Kliknite Add record.
4. Postavite Type na CAA.
5. U polje Name unesite: @ @ znači korijen vaše domene. Cloudflare automatski dodaje domenu, pa ne upisujte naziv domene iza toga.
6. Cloudflare prikazuje CAA polja kao jednostavne izbornike. Postavite ih ovako:
   • Flags: 0
   • Tag: odaberite Only allow specific hostnames (ovo je tag issue)
   • CA domain name (vrijednost): letsencrypt.org
7. Ostavite TTL na Auto.
8. Kliknite Save.

Dopuštanje više certifikacijskih ustanova

Većina domena koristi više od jedne ustanove s vremenom — na primjer, besplatni certifikat danas i plaćeni kasnije, ili drugačiji za zasebnu uslugu. Da biste dopustili više njih, dodajte zaseban CAA zapis za svaku. Svi koriste isti naziv @, oznaku 0 flags i tag issue — mijenja se samo vrijednost CA domene:

• jedan zapis s vrijednošću letsencrypt.org
• jedan zapis s vrijednošću digicert.com

Zajedno to kaže obje ove ustanove su dopuštene, nitko drugi. Ne kombiniraju se u jedan zapis.

Česte greške na Cloudflareу

• Najveća greška je isključiti vlastitu ustanovu. Ako dodate CAA zapis koji navodi samo digicert.com, a vaš certifikat se zapravo obnavlja putem Let’s Encrypta, sljedeće obnavljanje će tiho propasti i lokot može nestati tjednima kasnije. Uvijek uključite svaku ustanovu koju stvarno koristite prije spremanja.
• Pazite na Cloudflareov vlastiti SSL. Ako vaš promet prolazi kroz Cloudflare (orange cloud), Cloudflare mora moći pribaviti rubne certifikate. Dodavanje CAA zapisa koji isključuje ustanove koje Cloudflare koristi može to pokvariti — kada ste u nedoumici, dopustite Let’s Encrypt i Google Trust Services (pki.goog) pored vlastitih, ili prepustite CAA Cloudflareu.
• Name je @, ne vaša domena. Koristite @ za korijen; Cloudflare sam dodaje domenu.
• Oznaka taga se razlikuje. Cloudflare naziva tag issue kao Only allow specific hostnames u svom izborniku. To je pravi izbor za normalnu upotrebu.
• Flags je 0 za normalan zapis. Druga vrijednost, 128, je strogi način — koristite ga samo namjerno.
• Koristite golu domenu, ne URL. Vrijednost je letsencrypt.org, nikad https://letsencrypt.org i nikad www..
• Nema proxyja na CAA zapisu. CAA je čisti DNS zapis — nema orange/grey cloud prekidača o kojemu trebate brinuti.
• Dajte mu vremena. DNS promjene mogu potrajati od nekoliko minuta do par sati. Postojeći certifikati ostaju aktivni; CAA se provjerava samo pri izdavanju ili obnavljanju novog.

Provjerite je li uspjelo

Nakon što se zapis propagira, pokrenite besplatnu provjeru na ovoj stranici. Reći će vam jasno je li vaš CAA zapis postavljen i koje ste ustanove dopustili.

Gotovo? Provjerite svoju domenu besplatno kako biste potvrdili da je uspjelo — i vidjeli svoju cjelovitu ocjenu prema svih 34 provjera.