Defaults.Exposed › Beállítás › CAA

Hogyan állítsunk be CAA rekordot AWS Route 53-on

Adj hozzá CAA rekordot az AWS Route 53-ban, hogy meghatározd, melyik tanúsítványkiadó hatóságok adhatnak ki SSL-tanúsítványt a domainedhez.

Miért fontos ez a vállalkozásod szempontjából

A CAA rekord megnevezi azokat a tanúsítványkiadó hatóságokat (a böngészők lakat ikonja mögötti SSL/TLS tanúsítványokat kiállító cégeket), amelyek jogosultak tanúsítványt kiadni a domainedhez. Minden szabályokat betartó hatóságnak előbb ellenőriznie kell ezt a rekordot, és vissza kell utasítania a kérést, ha a kiadó nincs a listán.

Egyszerűen fogalmazva: CAA rekord nélkül a világ bármely száz tanúsítványkiadójából bármelyiket becsaphatják, vagy hibát követhet el, és érvényes tanúsítványt adhat ki a domainedhez — amit egy támadó felhasználhat arra, hogy meggyőzően megszemélyesítse a weboldaladat. A CAA rekord bezárja ezt az ajtót azzal, hogy kimondja: csak ezek a hatóságok, senki más. Ingyenes, és csupán néhány percet vesz igénybe.

Ellenőrizd, hogy a Route 53 kezeli-e a DNS-edet

Ez csak akkor működik, ha a Route 53 szolgálja ki a domainedet. A Route 53-ban a rekordok egy hosztolt zónában élnek a domain számára, és ez a zóna csak akkor él, ha a domain névszerverei a zónában felsorolt négy Route 53 névszerverre mutatnak. Nyisd meg a hosztolt zónát, ellenőrizd az NS rekordját, és erősítsd meg, hogy ezek a névszerverek be vannak állítva a regisztrátornál. Ha a névszerverek máshova mutatnak, a CAA rekordot annál a szolgáltatónál add hozzá, amelyik a DNS-edet kezeli.

Először ismerd meg a tanúsítványkiadódat

Mielőtt bármit hozzáadsz, derítsd ki, melyik hatóság adja ki a tanúsítványodat, különben kizárhatod a saját szolgáltatódat. Általános értékek:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (a legtöbb ingyenes és automatizált tanúsítvány)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Ha az AWS Certificate Manager-t használsz tanúsítványok kibocsátásához, engedélyezned kell az amazon.com-ot, különben az ACM nem tud kiállítani. Ha nem vagy biztos benne, kérdezd meg azt, aki a tárhelyedet beállította, vagy ellenőrizd a tanúsítványt a böngésződben (kattints a lakat ikonra, majd nézd meg a tanúsítvány kiállítóját).

Lépésről lépésre Route 53-on

1. Jelentkezz be az AWS Management Console-ba, és nyisd meg a Route 53-at.
2. A bal oldali menüben válaszd a Hosted zones lehetőséget, majd válaszd ki a domainedet.
3. Kattints a Create record gombra.
4. A Record name mezőt hagyd üresen, hogy a rekord a domain gyökerére vonatkozzon (az apex). Ne írd be ide a domainnevedet.
5. Állítsd be a Record type értékét CAA-ra.
6. A Value mezőbe írd be a rekordot a Route 53 háromrészes formátumában, egy sorban: 0 issue "letsencrypt.org" Ez a flagsek (0), majd a tag (issue), majd a tanúsítványkiadó neve dupla idézőjelben.
7. A TTL értékét hagyd az alapértelmezettn (300 másodperc megfelelő).
8. Ha kérdezi, válaszd a Simple routing lehetőséget, majd kattints a Create records gombra.

Több tanúsítványkiadó engedélyezése

A legtöbb domain idővel egynél több hatóságot vesz igénybe — például az AWS Certificate Manager az egyik szolgáltatáshoz, a Let’s Encrypt a másikhoz. A Route 53-ban a további hatóságokat ugyanannak a CAA rekord Value mezőjének külön soraiban kell megadni, soronként egyet:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Együttesen azt mondják: mindkét hatóság jogosult, más nem. Minden sor egy külön issue bejegyzés; ne tedd két hatóságot ugyanarra a sorra.

Route 53-specifikus hibák, amelyeket sokan elkövetnek

• A legnagyobb hiba a saját hatóság kizárása. Ha olyan CAA rekordot adsz hozzá, amely csak a digicert.com-ot listázza, de a tanúsítványod valójában a Let’s Encrypt-en vagy az ACM-en keresztül újul meg, a következő megújítás csendben meghiúsul, és a lakat ikon hetek múlva megszűnhet. Mindig adj meg minden hatóságot, amelyet valóban használsz, mielőtt mentesz.
• Engedélyezd az amazon.com-ot az ACM-hez. Ha a tanúsítványaid az AWS Certificate Manager-tól érkeznek, és a CAA rekordod nem tartalmazza az amazon.com-ot, az ACM hitelesítése és megújítása meghiúsul. Ez a leggyakoribb Route 53-specifikus csapda.
• A CA körüli idézőjelek kötelezők. A Route 53 elvárja a 0 issue "letsencrypt.org" formátumot, ahol a hatóság neve dupla idézőjelben van. Ezek elhagyása érvénytelen rekordot eredményez.
• A rekordnevet hagyd üresen a gyökérhez. Az üres név az apex-re alkalmazza a rekordot; a domainnamed beírása rossz helyre hozza létre.
• A Flags értéke normál rekordnál 0. A másik értéket (128) egy szigorú módhoz használják — csak szándékosan alkalmazd.
• Csak a csupasz domainnevet adj meg, ne URL-t. Az érték letsencrypt.org, soha nem https://letsencrypt.org és soha nem www..
• Adj időt neki. A DNS változtatások néhány perctől akár néhány óráig is tarthatnak, mire érvénybe lépnek. A meglévő tanúsítványok továbbra is működnek; a CAA-t csak új tanúsítvány kiadásakor vagy megújításakor ellenőrzik.

Ellenőrizd, hogy működik-e

Mentés és propagálás után futtasd az ingyenes ellenőrzést ezen az oldalon. Egyszerű nyelven megmondja, hogy a CAA rekordod a helyén van-e, és melyik hatóságokat engedélyezted.

Kész? Ellenőrizd a domainjedet ingyen hogy megbizonyosodj róla, hogy működött — és lásd teljes értékelésed mind a 34 ellenőrzésen.