Defaults.Exposed › Pengaturan › CAA

Cara mengatur record CAA di Cloudflare

Tambahkan record CAA di Cloudflare untuk mengontrol otoritas sertifikat mana yang diizinkan menerbitkan sertifikat SSL untuk domain Anda.

Mengapa ini penting bagi bisnis Anda

Record CAA menyebutkan otoritas sertifikat mana (perusahaan yang menerbitkan sertifikat SSL/TLS di balik gembok di browser) yang diizinkan menerbitkan sertifikat untuk domain Anda. Setiap otoritas yang mengikuti aturan wajib memeriksa record ini terlebih dahulu dan menolak permintaan jika tidak ada dalam daftar.

Singkatnya: tanpa record CAA, ratusan otoritas sertifikat di seluruh dunia bisa tertipu atau membuat kesalahan dan memberikan sertifikat yang valid untuk domain Anda kepada orang lain — yang bisa digunakan penyerang untuk meniru website Anda secara meyakinkan. Record CAA menutup celah itu dengan menyatakan hanya otoritas-otoritas ini, tidak ada yang lain. Gratis dan hanya membutuhkan beberapa menit.

Pastikan Cloudflare mengelola DNS Anda

Ini hanya berfungsi jika Cloudflare yang menjawab permintaan DNS untuk domain Anda. Cloudflare adalah host DNS Anda, dan DNS-nya hanya aktif ketika nameserver domain Anda mengarah ke nameserver Cloudflare yang ditampilkan di dashboard. Buka domain Anda di Cloudflare dan periksa halaman Overview untuk memastikan Cloudflare aktif. Jika nameserver Anda mengarah ke tempat lain, tambahkan record CAA di penyedia yang mengelola DNS Anda.

Ketahui otoritas sertifikat Anda terlebih dahulu

Sebelum menambahkan apa pun, cari tahu otoritas mana yang menerbitkan sertifikat Anda, atau Anda berisiko mengunci penyedia Anda sendiri. Nilai umum:

• letsencrypt.org — Let’s Encrypt (digunakan oleh sebagian besar sertifikat gratis dan otomatis)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Catatan Cloudflare: jika Anda menggunakan SSL Cloudflare sendiri (konfigurasi proxy awan oranye), Cloudflare menerbitkan sertifikat melalui beberapa otoritas atas nama Anda — jadi pastikan record CAA yang Anda tambahkan masih mengizinkan otoritas tersebut, atau biarkan Cloudflare mengelola CAA untuk Anda. Jika tidak yakin, tanyakan kepada yang menyiapkan hosting Anda, atau periksa sertifikat di browser (klik gembok, lalu lihat penerbit sertifikat).

Langkah-langkah di Cloudflare

1. Masuk ke Cloudflare dan pilih domain Anda.
2. Di menu sebelah kiri, buka pengaturan DNS (cari DNS / Records).
3. Klik Add record.
4. Atur Type ke CAA.
5. Di kolom Name, masukkan: @ Tanda @ berarti root domain Anda. Cloudflare otomatis menambahkan domain, jadi jangan ketik nama domain setelahnya.
6. Cloudflare menampilkan kolom CAA sebagai menu yang ramah. Isi sebagai berikut:
   • Flags: 0
   • Tag: pilih Only allow specific hostnames (ini adalah tag issue)
   • CA domain name (nilainya): letsencrypt.org
7. Biarkan TTL pada Auto.
8. Klik Save.

Mengizinkan lebih dari satu otoritas sertifikat

Sebagian besar domain menggunakan lebih dari satu otoritas seiring waktu — misalnya, sertifikat gratis hari ini dan yang berbayar nanti, atau satu yang berbeda untuk layanan terpisah. Untuk mengizinkan beberapa, tambahkan record CAA terpisah untuk masing-masing. Semuanya menggunakan nama @, flag 0, dan tag issue yang sama — hanya nilai CA domain yang berbeda:

• satu record dengan nilai letsencrypt.org
• satu record dengan nilai digicert.com

Bersama-sama, keduanya menyatakan kedua otoritas ini diizinkan, tidak ada yang lain. Anda tidak menggabungkannya ke dalam satu record.

Kesalahan umum di Cloudflare

• Kesalahan terbesar adalah mengunci otoritas Anda sendiri. Jika Anda menambahkan record CAA yang hanya mencantumkan digicert.com tetapi sertifikat Anda sebenarnya diperbarui melalui Let’s Encrypt, pembaruan berikutnya akan gagal diam-diam dan gembok Anda bisa rusak beberapa minggu kemudian. Selalu sertakan setiap otoritas yang benar-benar Anda gunakan sebelum menyimpan.
• Waspadai SSL Cloudflare sendiri. Jika traffic Anda berjalan melalui Cloudflare (awan oranye), Cloudflare perlu dapat memperoleh sertifikat edge. Menambahkan record CAA yang mengecualikan otoritas yang digunakan Cloudflare dapat merusak hal ini — jika ragu, izinkan Let’s Encrypt dan Google Trust Services (pki.goog) bersama Anda, atau biarkan Cloudflare mengelola CAA.
• Name adalah @, bukan domain Anda. Gunakan @ untuk root; Cloudflare menambahkan domain sendiri.
• Penamaan tag berbeda. Cloudflare melabeli tag issue sebagai Only allow specific hostnames di menunya. Itu adalah pilihan yang tepat untuk penggunaan normal.
• Flags adalah 0 untuk record normal. Nilai lain, 128, adalah mode ketat — hanya gunakan secara sengaja.
• Gunakan domain kosong, bukan URL. Nilainya adalah letsencrypt.org, bukan https://letsencrypt.org dan bukan www..
• Tidak ada proxy pada CAA record. CAA adalah record DNS murni — tidak ada toggle awan oranye/abu-abu yang perlu dikhawatirkan di sini.
• Berikan waktu. Perubahan DNS bisa memakan waktu beberapa menit hingga beberapa jam untuk berlaku. Sertifikat yang ada tetap berfungsi; CAA hanya diperiksa saat sertifikat baru diterbitkan atau diperbarui.

Verifikasi bahwa ini berhasil

Setelah disimpan dan tersebar, jalankan pemeriksaan gratis di situs ini. Hasilnya akan memberi tahu Anda dalam bahasa yang mudah dipahami apakah record CAA Anda sudah terpasang dan otoritas mana yang telah Anda izinkan.

Selesai? Periksa domain Anda gratis untuk mengonfirmasi berhasil — dan lihat nilai lengkap Anda di seluruh 34 pemeriksaan.