Defaults.Exposed › Beállítás › CAA

Hogyan állítsunk be CAA rekordot GoDaddy-n

Adj hozzá CAA rekordot a GoDaddy-ben, hogy meghatározd, melyik tanúsítványkiadó hatóságok adhatnak ki SSL-tanúsítványt a domainedhez.

Miért fontos ez a vállalkozásod szempontjából

A CAA rekord megnevezi azokat a tanúsítványkiadó hatóságokat (a böngészők lakat ikonja mögötti SSL/TLS tanúsítványokat kiállító cégeket), amelyek jogosultak tanúsítványt kiadni a domainedhez. Minden szabályokat betartó hatóságnak előbb ellenőriznie kell ezt a rekordot, és vissza kell utasítania a kérést, ha a kiadó nincs a listán.

Egyszerűen fogalmazva: CAA rekord nélkül a világ bármely száz tanúsítványkiadójából bármelyiket becsaphatják, vagy hibát követhet el, és érvényes tanúsítványt adhat ki a domainedhez — amit egy támadó felhasználhat arra, hogy meggyőzően megszemélyesítse a weboldaladat. A CAA rekord bezárja ezt az ajtót azzal, hogy kimondja: csak ezek a hatóságok, senki más. Ingyenes, és csupán néhány percet vesz igénybe.

Ellenőrizd, hogy a GoDaddy kezeli-e a DNS-edet

Ez csak akkor működik, ha a GoDaddy szolgálja ki a domainedet. A GoDaddy domainek értékesítésével és a DNS-gazdálkodással is foglalkozik, de a kettő különálló — a domain névszervereidnek a GoDaddy-re kell mutatniuk ahhoz, hogy az itt hozzáadott rekordok élesben legyenek. Jelentkezz be, nyisd meg a domainedet, és ellenőrizd, hogy a névszerverek a GoDaddy sajátjai. Ha máshova mutatnak, a CAA rekordot annál a szolgáltatónál add hozzá, amelyik a DNS-edet kezeli.

Először ismerd meg a tanúsítványkiadódat

Mielőtt bármit hozzáadsz, derítsd ki, melyik hatóság adja ki a tanúsítványodat, különben kizárhatod a saját szolgáltatódat. Általános értékek:

• letsencrypt.org — Let’s Encrypt (a legtöbb ingyenes és automatizált tanúsítvány)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Ha nem vagy biztos benne, kérdezd meg azt, aki a tárhelyedet beállította, vagy ellenőrizd a tanúsítványt a böngésződben (kattints a lakat ikonra, majd nézd meg a tanúsítvány kiállítóját).

Lépésről lépésre GoDaddy-n

1. Jelentkezz be a GoDaddy-be, és nyisd meg a Domain Portfolio (vagy My Products) részt.
2. Keresd meg a domainedet, és nyisd meg a DNS kezelési oldalát (keresd a DNS vagy Manage DNS menüpontot).
3. A rekordok listája alatt kattints az Add (vagy Add New Record) gombra.
4. Állítsd be a Type értékét CAA-ra.
5. A Name (vagy Host) mezőbe írd be: @ A @ a domainedet jelenti gyökérszinten. Ne írd be a domainnevedet ide.
6. A Flags értékét állítsd: 0
7. A Tag értékét állítsd: issue
8. A Value mezőbe írd be a tanúsítványkiadó azonosítóját, például: letsencrypt.org
9. A TTL értékét hagyd az alapértelmezettn (1 óra megfelelő).
10. Kattints a Save gombra.

Több tanúsítványkiadó engedélyezése

A legtöbb domain idővel egynél több hatóságot vesz igénybe — például ma egy ingyenes tanúsítványt, később egy fizetoset, vagy különböző szolgáltatásokhoz különbözőt. Ha többet szeretnél engedélyezni, adj hozzá minden egyes hatósághoz külön CAA rekordot. Mindegyik ugyanazt a @ nevet, 0 flagset és issue taget használja — csak az érték változik:

• egy rekord letsencrypt.org értékkel
• egy rekord digicert.com értékkel

Együttesen azt mondják: mindkét hatóság jogosult, más nem. Nem kell őket egyetlen rekordba kombinálni.

GoDaddy-specifikus hibák, amelyeket sokan elkövetnek

• A legnagyobb hiba a saját hatóság kizárása. Ha olyan CAA rekordot adsz hozzá, amely csak a digicert.com-ot listázza, de a tanúsítványod valójában a Let’s Encrypt-en keresztül újul meg, a következő megújítás csendben meghiúsul, és a lakat ikon hetek múlva megszűnhet. Mindig adj meg minden hatóságot, amelyet valóban használsz, mielőtt mentesz.
• A Name értéke @, nem a domainedet. Ha a teljes domainnevedet írod be a Name mezőbe, a rekord rossz helyre kerül. Használj @-t a gyökérhez.
• A Flags értéke normál rekorddál 0. A másik értéket (128) egy szigorú módhoz használják, amely a nem megfelelő hatóságot egyenesen elutasítja — csak szándékosan használd. Általános használathoz: 0.
• Csak a csupasz domainnevet adj meg, ne URL-t. Az érték letsencrypt.org, soha nem https://letsencrypt.org és soha nem www..
• Ne adj hozzá saját idézőjeleket. Írd be az egyszerű értéket; a GoDaddy maga kezeli az idézőjeleket.
• Adj időt neki. A DNS változtatások néhány perctől akár néhány óráig is tarthatnak, mire érvénybe lépnek. A meglévő tanúsítványok továbbra is működnek; a CAA-t csak új tanúsítvány kiadásakor vagy megújításakor ellenőrzik.

Ellenőrizd, hogy működik-e

Mentés és propagálás után futtasd az ingyenes ellenőrzést ezen az oldalon. Egyszerű nyelven megmondja, hogy a CAA rekordod a helyén van-e, és melyik hatóságokat engedélyezted.

Kész? Ellenőrizd a domainjedet ingyen hogy megbizonyosodj róla, hogy működött — és lásd teljes értékelésed mind a 34 ellenőrzésen.