Defaults.Exposed › Pengaturan › CAA

Cara mengatur record CAA di GoDaddy

Tambahkan record CAA di GoDaddy untuk mengontrol otoritas sertifikat mana yang diizinkan menerbitkan sertifikat SSL untuk domain Anda.

Mengapa ini penting bagi bisnis Anda

Record CAA menyebutkan otoritas sertifikat mana (perusahaan yang menerbitkan sertifikat SSL/TLS di balik gembok di browser) yang diizinkan menerbitkan sertifikat untuk domain Anda. Setiap otoritas yang mengikuti aturan wajib memeriksa record ini terlebih dahulu dan menolak permintaan jika tidak ada dalam daftar.

Singkatnya: tanpa record CAA, ratusan otoritas sertifikat di seluruh dunia bisa tertipu atau membuat kesalahan dan memberikan sertifikat yang valid untuk domain Anda kepada orang lain — yang bisa digunakan penyerang untuk meniru website Anda secara meyakinkan. Record CAA menutup celah itu dengan menyatakan hanya otoritas-otoritas ini, tidak ada yang lain. Gratis dan hanya membutuhkan beberapa menit.

Pastikan GoDaddy mengelola DNS Anda

Ini hanya berfungsi jika GoDaddy yang menjawab permintaan DNS untuk domain Anda. GoDaddy menjual domain dan juga menghosting DNS, tetapi keduanya terpisah — nameserver domain Anda harus mengarah ke GoDaddy agar record yang Anda tambahkan di sini aktif. Masuk, buka domain Anda, dan pastikan nameserver-nya milik GoDaddy sendiri. Jika mengarah ke tempat lain, tambahkan record CAA di penyedia yang mengelola DNS Anda.

Ketahui otoritas sertifikat Anda terlebih dahulu

Sebelum menambahkan apa pun, cari tahu otoritas mana yang menerbitkan sertifikat Anda, atau Anda berisiko mengunci penyedia Anda sendiri. Nilai umum:

• letsencrypt.org — Let’s Encrypt (digunakan oleh sebagian besar sertifikat gratis dan otomatis)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Jika tidak yakin, tanyakan kepada yang menyiapkan hosting Anda, atau periksa sertifikat di browser (klik gembok, lalu lihat penerbit sertifikat).

Langkah-langkah di GoDaddy

1. Masuk ke GoDaddy dan buka Domain Portfolio (atau My Products).
2. Temukan domain Anda dan buka halaman manajemen DNS-nya (cari DNS atau Manage DNS).
3. Di bawah daftar record, klik Add (atau Add New Record).
4. Atur Type ke CAA.
5. Di kolom Name (atau Host), masukkan: @ Tanda @ berarti root domain Anda. Jangan ketik nama domain di sini.
6. Atur Flags ke: 0
7. Atur Tag ke: issue
8. Di kolom Value, masukkan identifier otoritas sertifikat Anda, misalnya: letsencrypt.org
9. Biarkan TTL pada nilai default (1 jam sudah baik).
10. Klik Save.

Mengizinkan lebih dari satu otoritas sertifikat

Sebagian besar domain menggunakan lebih dari satu otoritas seiring waktu — misalnya, sertifikat gratis hari ini dan yang berbayar nanti, atau satu yang berbeda untuk layanan terpisah. Untuk mengizinkan beberapa, tambahkan record CAA terpisah untuk masing-masing. Semuanya menggunakan nama @, flag 0, dan tag issue yang sama — hanya nilainya yang berbeda:

• satu record dengan nilai letsencrypt.org
• satu record dengan nilai digicert.com

Bersama-sama, keduanya menyatakan kedua otoritas ini diizinkan, tidak ada yang lain. Anda tidak menggabungkannya ke dalam satu record.

Kesalahan umum di GoDaddy

• Kesalahan terbesar adalah mengunci otoritas Anda sendiri. Jika Anda menambahkan record CAA yang hanya mencantumkan digicert.com tetapi sertifikat Anda sebenarnya diperbarui melalui Let’s Encrypt, pembaruan berikutnya akan gagal diam-diam dan gembok Anda bisa rusak beberapa minggu kemudian. Selalu sertakan setiap otoritas yang benar-benar Anda gunakan sebelum menyimpan.
• Name adalah @, bukan domain Anda. Mengetik nama domain lengkap di kolom Name membuat record di tempat yang salah. Gunakan @ untuk root.
• Flags adalah 0 untuk record normal. Nilai lain, 128, adalah mode ketat yang membuat otoritas yang tidak patuh langsung menolak — hanya gunakan secara sengaja. Untuk penggunaan biasa, 0.
• Gunakan domain kosong, bukan URL. Nilainya adalah letsencrypt.org, bukan https://letsencrypt.org dan bukan www..
• Jangan tambahkan tanda kutip sendiri. Masukkan nilai biasa; GoDaddy menangani tanda kutip sendiri.
• Berikan waktu. Perubahan DNS bisa memakan waktu beberapa menit hingga beberapa jam untuk berlaku. Sertifikat yang ada tetap berfungsi; CAA hanya diperiksa saat sertifikat baru diterbitkan atau diperbarui.

Verifikasi bahwa ini berhasil

Setelah disimpan dan tersebar, jalankan pemeriksaan gratis di situs ini. Hasilnya akan memberi tahu Anda dalam bahasa yang mudah dipahami apakah record CAA Anda sudah terpasang dan otoritas mana yang telah Anda izinkan.

Selesai? Periksa domain Anda gratis untuk mengonfirmasi berhasil — dan lihat nilai lengkap Anda di seluruh 34 pemeriksaan.