Defaults.Exposed › Postavljanje › CAA

Kako postaviti CAA zapis na GoDaddyju

Dodajte CAA zapis u GoDaddy kako biste kontrolirali koje certifikacijske ustanove smiju izdavati SSL certifikate za vašu domenu.

Zašto je ovo važno za vaše poslovanje

CAA zapis navodi koje certifikacijske ustanove (tvrtke koje izdaju SSL/TLS certifikate iza lokota u pregledniku) smiju izdati certifikat za vašu domenu. Svaka ustanova koja prati pravila mora prvo provjeriti ovaj zapis i odbiti zahtjev ako nije na popisu.

Jednostavno rečeno: bez CAA zapisa, bilo koja od stotina certifikacijskih ustanova diljem svijeta mogla bi biti prevarena ili pogriješiti i nekome predati valjani certifikat za vašu domenu — koji bi napadač mogao koristiti za uvjerljivo lažno predstavljanje vaše web stranice. CAA zapis zatvara ta vrata govoreći samo ove ustanove, nitko drugi. Besplatan je i traje nekoliko minuta.

Potvrdite da GoDaddy upravlja vašim DNS-om

Ovo funkcionira samo ako GoDaddy odgovara na DNS upite za vašu domenu. GoDaddy prodaje domene i domaćin je DNS-u, ali to su dvije odvojene stvari — nameserveri vaše domene moraju pokazivati na GoDaddy da bi zapisi koje ovdje dodajete bili aktivni. Prijavite se, otvorite svoju domenu i provjerite da nameserveri budu GoDaddyjevi vlastiti. Ako pokazuju drugamo, dodajte CAA zapis kod pružatelja koji zapravo upravlja vašim DNS-om.

Najprije saznajte svoju certifikacijsku ustanovu

Prije nego što išta dodate, saznajte koja ustanova izdaje vaš certifikat, ili riskirate isključiti vlastitog pružatelja. Uobičajene vrijednosti:

• letsencrypt.org — Let’s Encrypt (koriste ga većina besplatnih i automatiziranih certifikata)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Ako niste sigurni, pitajte onoga tko je postavio vaš hosting, ili provjerite certifikat u pregledniku (kliknite lokot, zatim pregledajte izdavatelja certifikata).

Korak po korak na GoDaddyju

1. Prijavite se na GoDaddy i otvorite Domain Portfolio (ili My Products).
2. Pronađite svoju domenu i otvorite njezinu stranicu za upravljanje DNS-om (potražite DNS ili Manage DNS).
3. U popisu zapisa kliknite Add (ili Add New Record).
4. Postavite Type na CAA.
5. U polje Name (ili Host) unesite: @ @ znači korijen vaše domene. Ne upisujte naziv domene ovdje.
6. Postavite Flags na: 0
7. Postavite Tag na: issue
8. U polje Value unesite identifikator vaše certifikacijske ustanove, na primjer: letsencrypt.org
9. Ostavite TTL na zadanoj vrijednosti (1 sat je u redu).
10. Kliknite Save.

Dopuštanje više certifikacijskih ustanova

Većina domena koristi više od jedne ustanove s vremenom — na primjer, besplatni certifikat danas i plaćeni kasnije, ili drugačiji za zasebnu uslugu. Da biste dopustili više njih, dodajte zaseban CAA zapis za svaku. Svi koriste isti naziv @, oznaku 0 flags i tag issue — mijenja se samo vrijednost:

• jedan zapis s vrijednošću letsencrypt.org
• jedan zapis s vrijednošću digicert.com

Zajedno to kaže obje ove ustanove su dopuštene, nitko drugi. Ne kombiniraju se u jedan zapis.

Česte greške na GoDaddyju

• Najveća greška je isključiti vlastitu ustanovu. Ako dodate CAA zapis koji navodi samo digicert.com, a vaš certifikat se zapravo obnavlja putem Let’s Encrypta, sljedeće obnavljanje će tiho propasti i lokot može nestati tjednima kasnije. Uvijek uključite svaku ustanovu koju stvarno koristite prije spremanja.
• Name je @, ne vaša domena. Upisivanje pune domene u polje Name stavlja zapis na krivo mjesto. Koristite @ za korijen.
• Flags je 0 za normalan zapis. Druga vrijednost, 128, je strogi način koji prisiljava nekompatibilnu ustanovu da odmah odbije — koristite ga samo namjerno. Za uobičajenu upotrebu, 0.
• Koristite golu domenu, ne URL. Vrijednost je letsencrypt.org, nikad https://letsencrypt.org i nikad www..
• Ne dodajte vlastite navodnike. Unesite vrijednost bez navodnika; GoDaddy sam se brine o potrebnom navođenju.
• Dajte mu vremena. DNS promjene mogu potrajati od nekoliko minuta do par sati. Postojeći certifikati ostaju aktivni; CAA se provjerava samo pri izdavanju ili obnavljanju novog.

Provjerite je li uspjelo

Nakon što se zapis propagira, pokrenite besplatnu provjeru na ovoj stranici. Reći će vam jasno je li vaš CAA zapis postavljen i koje ste ustanove dopustili.

Gotovo? Provjerite svoju domenu besplatno kako biste potvrdili da je uspjelo — i vidjeli svoju cjelovitu ocjenu prema svih 34 provjera.