Defaults.Exposed › Postavljanje › CAA

Kako postaviti CAA zapis na AWS Route 53

Dodajte CAA zapis u AWS Route 53 kako biste kontrolirali koje certifikacijske ustanove smiju izdavati SSL certifikate za vašu domenu.

Zašto je ovo važno za vaše poslovanje

CAA zapis navodi koje certifikacijske ustanove (tvrtke koje izdaju SSL/TLS certifikate iza lokota u pregledniku) smiju izdati certifikat za vašu domenu. Svaka ustanova koja prati pravila mora prvo provjeriti ovaj zapis i odbiti zahtjev ako nije na popisu.

Jednostavno rečeno: bez CAA zapisa, bilo koja od stotina certifikacijskih ustanova diljem svijeta mogla bi biti prevarena ili pogriješiti i nekome predati valjani certifikat za vašu domenu — koji bi napadač mogao koristiti za uvjerljivo lažno predstavljanje vaše web stranice. CAA zapis zatvara ta vrata govoreći samo ove ustanove, nitko drugi. Besplatan je i traje nekoliko minuta.

Potvrdite da Route 53 upravlja vašim DNS-om

Ovo funkcionira samo ako Route 53 odgovara na DNS upite za vašu domenu. U Route 53 vaši zapisi žive unutar hosted zone za domenu, a ta zona je aktivna samo kada nameserveri vaše domene pokazuju na četiri Route 53 nameservera navedena u zoni. Otvorite hosted zonu, provjerite njezin NS zapis i potvrdite da su ti nameserveri postavljeni kod vašeg registrara. Ako nameserveri pokazuju drugamo, dodajte CAA zapis kod pružatelja koji zapravo upravlja vašim DNS-om.

Najprije saznajte svoju certifikacijsku ustanovu

Prije nego što išta dodate, saznajte koja ustanova izdaje vaš certifikat, ili riskirate isključiti vlastitog pružatelja. Uobičajene vrijednosti:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (koriste ga većina besplatnih i automatiziranih certifikata)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Ako koristite AWS Certificate Manager za pribavljanje certifikata, morate dopustiti amazon.com ili ACM neće moći izdati. Ako niste sigurni, pitajte onoga tko je postavio vaš hosting, ili provjerite certifikat u pregledniku (kliknite lokot, zatim pregledajte izdavatelja certifikata).

Korak po korak na Route 53

1. Prijavite se na AWS Management Console i otvorite Route 53.
2. U lijevom izborniku odaberite Hosted zones, zatim odaberite svoju domenu.
3. Kliknite Create record.
4. Ostavite polje Record name prazno kako biste primijenili zapis na korijen vaše domene (apex). Ne upisujte naziv domene ovdje.
5. Postavite Record type na CAA.
6. U okvir Value unesite zapis u Route 53 trodijelnom formatu u jednom retku: 0 issue "letsencrypt.org" To su flags (0), zatim tag (issue), zatim certifikacijska ustanova u dvostrukim navodnicima.
7. Ostavite TTL na zadanoj vrijednosti (300 sekundi je u redu).
8. Odaberite Simple routing ako se to traži, zatim kliknite Create records.

Dopuštanje više certifikacijskih ustanova

Većina domena koristi više od jedne ustanove s vremenom — na primjer, AWS Certificate Manager za jednu uslugu i Let’s Encrypt za drugu. U Route 53 dodajete extra ustanove kao dodatne retke u okviru Value istog CAA zapisa, jedan po retku:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Zajedno to kaže obje ove ustanove su dopuštene, nitko drugi. Svaki redak je zaseban unos issue; ne stavljaju se dvije ustanove u isti redak.

Česte greške na Route 53

• Najveća greška je isključiti vlastitu ustanovu. Ako dodate CAA zapis koji navodi samo digicert.com, a vaš certifikat se zapravo obnavlja putem Let’s Encrypta ili ACM-a, sljedeće obnavljanje će tiho propasti i lokot može nestati tjednima kasnije. Uvijek uključite svaku ustanovu koju stvarno koristite prije spremanja.
• Dopustite amazon.com za ACM. Ako vaši certifikati dolaze iz AWS Certificate Managera i vaš CAA zapis ne uključuje amazon.com, provjera valjanosti i obnavljanje ACM-a će propasti. Ovo je najčešća specifična greška na Route 53.
• Navodnici oko CA-a su obavezni. Route 53 očekuje 0 issue "letsencrypt.org" s ustanovom u dvostrukim navodnicima. Izostavljanje navodnika čini zapis nevažećim.
• Ostavite ime zapisa prazno za korijen. Prazno ime primjenjuje zapis na apex; upisivanje domene stvara ga na krivom mjestu.
• Flags je 0 za normalan zapis. Druga vrijednost, 128, je strogi način — koristite ga samo namjerno.
• Koristite golu domenu, ne URL. Vrijednost je letsencrypt.org, nikad https://letsencrypt.org i nikad www..
• Dajte mu vremena. DNS promjene mogu potrajati od nekoliko minuta do par sati. Postojeći certifikati ostaju aktivni; CAA se provjerava samo pri izdavanju ili obnavljanju novog.

Provjerite je li uspjelo

Nakon što se zapis propagira, pokrenite besplatnu provjeru na ovoj stranici. Reći će vam jasno je li vaš CAA zapis postavljen i koje ste ustanove dopustili.

Gotovo? Provjerite svoju domenu besplatno kako biste potvrdili da je uspjelo — i vidjeli svoju cjelovitu ocjenu prema svih 34 provjera.