Defaults.Exposed › Pengaturan › CAA

Cara mengatur record CAA di Namecheap

Tambahkan record CAA di Namecheap untuk mengontrol otoritas sertifikat mana yang diizinkan menerbitkan sertifikat SSL untuk domain Anda.

Mengapa ini penting bagi bisnis Anda

Record CAA menyebutkan otoritas sertifikat mana (perusahaan yang menerbitkan sertifikat SSL/TLS di balik gembok di browser) yang diizinkan menerbitkan sertifikat untuk domain Anda. Setiap otoritas yang mengikuti aturan wajib memeriksa record ini terlebih dahulu dan menolak permintaan jika tidak ada dalam daftar.

Singkatnya: tanpa record CAA, ratusan otoritas sertifikat di seluruh dunia bisa tertipu atau membuat kesalahan dan memberikan sertifikat yang valid untuk domain Anda kepada orang lain — yang bisa digunakan penyerang untuk meniru website Anda secara meyakinkan. Record CAA menutup celah itu dengan menyatakan hanya otoritas-otoritas ini, tidak ada yang lain. Gratis dan hanya membutuhkan beberapa menit.

Pastikan Namecheap mengelola DNS Anda

Ini hanya berfungsi jika Namecheap yang menjawab permintaan DNS untuk domain Anda. Record di bawah ini masuk ke Advanced DNS, yang hanya aktif ketika domain Anda menggunakan Namecheap BasicDNS (atau PremiumDNS). Masuk, buka Domain List, klik Manage pada domain Anda, dan pastikan nameserver-nya mengarah ke Namecheap. Jika nameserver Anda mengarah ke tempat lain, tambahkan record CAA di penyedia yang mengelola DNS Anda.

Ketahui otoritas sertifikat Anda terlebih dahulu

Sebelum menambahkan apa pun, cari tahu otoritas mana yang menerbitkan sertifikat Anda, atau Anda berisiko mengunci penyedia Anda sendiri. Nilai umum:

• letsencrypt.org — Let’s Encrypt (digunakan oleh sebagian besar sertifikat gratis dan otomatis)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Jika tidak yakin, tanyakan kepada yang menyiapkan hosting Anda, atau periksa sertifikat di browser (klik gembok, lalu lihat penerbit sertifikat).

Langkah-langkah di Namecheap

1. Masuk ke Namecheap dan buka Domain List.
2. Klik Manage di sebelah domain Anda.
3. Buka tab Advanced DNS.
4. Di bawah Host Records, klik Add New Record.
5. Atur Type record ke CAA Record.
6. Di kolom Host, masukkan: @ Tanda @ berarti root domain Anda. Jangan ketik nama domain di sini.
7. Di kolom Flag, masukkan: 0
8. Di kolom Tag, pilih: issue
9. Di kolom Value (CA domain), masukkan identifier otoritas sertifikat Anda, misalnya: letsencrypt.org
10. Biarkan TTL pada Automatic.
11. Klik tanda centang hijau untuk menyimpan, lalu Save All Changes jika diminta.

Mengizinkan lebih dari satu otoritas sertifikat

Sebagian besar domain menggunakan lebih dari satu otoritas seiring waktu — misalnya, sertifikat gratis hari ini dan yang berbayar nanti, atau satu yang berbeda untuk layanan terpisah. Untuk mengizinkan beberapa, tambahkan record CAA terpisah untuk masing-masing. Semuanya menggunakan host @, flag 0, dan tag issue yang sama — hanya nilainya yang berbeda:

• satu record dengan nilai letsencrypt.org
• satu record dengan nilai digicert.com

Bersama-sama, keduanya menyatakan kedua otoritas ini diizinkan, tidak ada yang lain. Anda tidak menggabungkannya ke dalam satu record.

Kesalahan umum di Namecheap

• Kesalahan terbesar adalah mengunci otoritas Anda sendiri. Jika Anda menambahkan record CAA yang hanya mencantumkan digicert.com tetapi sertifikat Anda sebenarnya diperbarui melalui Let’s Encrypt, pembaruan berikutnya akan gagal diam-diam dan gembok Anda bisa rusak beberapa minggu kemudian. Selalu sertakan setiap otoritas yang benar-benar Anda gunakan sebelum menyimpan.
• Host adalah @, bukan domain Anda. Mengetik nama domain lengkap di kolom Host membuat record di tempat yang salah. Gunakan @ untuk root.
• Flag adalah 0 untuk record normal. Nilai lain, 128, adalah mode ketat yang membuat otoritas yang tidak patuh langsung menolak — hanya gunakan secara sengaja. Untuk penggunaan biasa, 0.
• Gunakan domain kosong, bukan URL. Nilainya adalah letsencrypt.org, bukan https://letsencrypt.org dan bukan www..
• Pilih tipe CAA, bukan TXT. Namecheap memiliki tipe CAA Record khusus — gunakan itu daripada mencoba menulis CAA secara manual ke dalam TXT record.
• Berikan waktu. Perubahan DNS bisa memakan waktu beberapa menit hingga beberapa jam untuk berlaku. Sertifikat yang ada tetap berfungsi; CAA hanya diperiksa saat sertifikat baru diterbitkan atau diperbarui.

Verifikasi bahwa ini berhasil

Setelah disimpan dan tersebar, jalankan pemeriksaan gratis di situs ini. Hasilnya akan memberi tahu Anda dalam bahasa yang mudah dipahami apakah record CAA Anda sudah terpasang dan otoritas mana yang telah Anda izinkan.

Selesai? Periksa domain Anda gratis untuk mengonfirmasi berhasil — dan lihat nilai lengkap Anda di seluruh 34 pemeriksaan.