Defaults.Exposed › Beállítás › CAA

Hogyan állítsunk be CAA rekordot Cloudflare-en

Adj hozzá CAA rekordot a Cloudflare-en, hogy meghatározd, melyik tanúsítványkiadó hatóságok adhatnak ki SSL-tanúsítványt a domainedhez.

Miért fontos ez a vállalkozásod szempontjából

A CAA rekord megnevezi azokat a tanúsítványkiadó hatóságokat (a böngészők lakat ikonja mögötti SSL/TLS tanúsítványokat kiállító cégeket), amelyek jogosultak tanúsítványt kiadni a domainedhez. Minden szabályokat betartó hatóságnak előbb ellenőriznie kell ezt a rekordot, és vissza kell utasítania a kérést, ha a kiadó nincs a listán.

Egyszerűen fogalmazva: CAA rekord nélkül a világ bármely száz tanúsítványkiadójából bármelyiket becsaphatják, vagy hibát követhet el, és érvényes tanúsítványt adhat ki a domainedhez — amit egy támadó felhasználhat arra, hogy meggyőzően megszemélyesítse a weboldaladat. A CAA rekord bezárja ezt az ajtót azzal, hogy kimondja: csak ezek a hatóságok, senki más. Ingyenes, és csupán néhány percet vesz igénybe.

Ellenőrizd, hogy a Cloudflare kezeli-e a DNS-edet

Ez csak akkor működik, ha a Cloudflare szolgálja ki a domainedet. A Cloudflare a DNS-gazdád, és DNS-e csak akkor él, ha a domainedet meghatározó névszerverek az irányítópultodban megjelenő Cloudflare névszerverekre mutatnak. Nyisd meg a domaint a Cloudflare-en, és ellenőrizd az Overview oldalt, hogy a Cloudflare aktív-e. Ha a névszerverek máshova mutatnak, a CAA rekordot annál a szolgáltatónál add hozzá, amelyik a DNS-edet kezeli.

Először ismerd meg a tanúsítványkiadódat

Mielőtt bármit hozzáadsz, derítsd ki, melyik hatóság adja ki a tanúsítványodat, különben kizárhatod a saját szolgáltatódat. Általános értékek:

• letsencrypt.org — Let’s Encrypt (a legtöbb ingyenes és automatizált tanúsítvány)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Egy Cloudflare-specifikus megjegyzés: ha a Cloudflare saját SSL-jét használod (a proxyzott, narancs felhős beállítást), a Cloudflare a te nevédben több hatóságon keresztül ad ki tanúsítványokat — ezért győződj meg arról, hogy a hozzáadott CAA rekord ezeket is engedélyezi, vagy hagyd, hogy a Cloudflare kezelje a CAA-t. Ha nem vagy biztos benne, kérdezd meg azt, aki a tárhelyedet beállította, vagy ellenőrizd a tanúsítványt a böngésződben (kattints a lakat ikonra, majd nézd meg a tanúsítvány kiállítóját).

Lépésről lépésre Cloudflare-en

1. Jelentkezz be a Cloudflare-re, és válaszd ki a domainnedet.
2. A bal oldali menüben menj a DNS beállításokhoz (keresd a DNS / Records menüpontot).
3. Kattints az Add record gombra.
4. Állítsd be a Type értékét CAA-ra.
5. A Name mezőbe írd be: @ A @ a domainedet jelenti gyökérszinten. A Cloudflare hozzáfűzi a domainedet, tehát ne írd be utána.
6. A Cloudflare a CAA mezőket barátságos menükként jeleníti meg. Állítsd be így:
   • Flags: 0
   • Tag: válaszd az Only allow specific hostnames lehetőséget (ez az issue tag)
   • CA domain name (érték): letsencrypt.org
7. A TTL értékét hagyd Auto-n.
8. Kattints a Save gombra.

Több tanúsítványkiadó engedélyezése

A legtöbb domain idővel egynél több hatóságot vesz igénybe — például ma egy ingyenes tanúsítványt, később egy fizetoset, vagy különböző szolgáltatásokhoz különbözőt. Ha többet szeretnél engedélyezni, adj hozzá minden egyes hatósághoz külön CAA rekordot. Mindegyik ugyanazt a @ nevet, 0 flagset és issue taget használja — csak a CA domain értéke változik:

• egy rekord letsencrypt.org értékkel
• egy rekord digicert.com értékkel

Együttesen azt mondják: mindkét hatóság jogosult, más nem. Nem kell őket egyetlen rekordba kombinálni.

Cloudflare-specifikus hibák, amelyeket sokan elkövetnek

• A legnagyobb hiba a saját hatóság kizárása. Ha olyan CAA rekordot adsz hozzá, amely csak a digicert.com-ot listázza, de a tanúsítványod valójában a Let’s Encrypt-en keresztül újul meg, a következő megújítás csendben meghiúsul, és a lakat ikon hetek múlva megszűnhet. Mindig adj meg minden hatóságot, amelyet valóban használsz, mielőtt mentesz.
• Figyelj a Cloudflare saját SSL-jére. Ha a forgalmad a Cloudflare-en halad át (narancs felhő), a Cloudflare-nek képesnek kell lennie edge tanúsítványok szerzésére. Egy olyan CAA rekord hozzáadása, amely kizárja a Cloudflare által használt hatóságokat, megakadályozhatja ezt — ha kétséges, engedélyezd a Let’s Encrypt és a Google Trust Services (pki.goog) hatóságokat a sajátod mellé, vagy hagyd a CAA-t a Cloudflare-re.
• A Name értéke @, nem a domainedet. Használj @-t a gyökérhez; a Cloudflare maga fűzi hozzá a domainedet.
• A Tag megfogalmazása eltér. A Cloudflare az issue taget a menüjében Only allow specific hostnames felirattal jelöli. Ez a helyes választás normál használatnál.
• A Flags értéke normál rekordnál 0. A másik értéket (128) egy szigorú módhoz használják — csak szándékosan alkalmazd.
• Csak a csupasz domainnevet adj meg, ne URL-t. Az érték letsencrypt.org, soha nem https://letsencrypt.org és soha nem www..
• CAA rekordon nincs proxy. A CAA egy tiszta DNS rekord — nincs narancs/szürke felhő kapcsoló, amivel foglalkoznod kellene.
• Adj időt neki. A DNS változtatások néhány perctől akár néhány óráig is tarthatnak, mire érvénybe lépnek. A meglévő tanúsítványok továbbra is működnek; a CAA-t csak új tanúsítvány kiadásakor vagy megújításakor ellenőrzik.

Ellenőrizd, hogy működik-e

Mentés és propagálás után futtasd az ingyenes ellenőrzést ezen az oldalon. Egyszerű nyelven megmondja, hogy a CAA rekordod a helyén van-e, és melyik hatóságokat engedélyezted.

Kész? Ellenőrizd a domainjedet ingyen hogy megbizonyosodj róla, hogy működött — és lásd teljes értékelésed mind a 34 ellenőrzésen.