Defaults.Exposed › Pengaturan › CAA

Cara mengatur record CAA di AWS Route 53

Tambahkan record CAA di AWS Route 53 untuk mengontrol otoritas sertifikat mana yang diizinkan menerbitkan sertifikat SSL untuk domain Anda.

Mengapa ini penting bagi bisnis Anda

Record CAA menyebutkan otoritas sertifikat mana (perusahaan yang menerbitkan sertifikat SSL/TLS di balik gembok di browser) yang diizinkan menerbitkan sertifikat untuk domain Anda. Setiap otoritas yang mengikuti aturan wajib memeriksa record ini terlebih dahulu dan menolak permintaan jika tidak ada dalam daftar.

Singkatnya: tanpa record CAA, ratusan otoritas sertifikat di seluruh dunia bisa tertipu atau membuat kesalahan dan memberikan sertifikat yang valid untuk domain Anda kepada orang lain — yang bisa digunakan penyerang untuk meniru website Anda secara meyakinkan. Record CAA menutup celah itu dengan menyatakan hanya otoritas-otoritas ini, tidak ada yang lain. Gratis dan hanya membutuhkan beberapa menit.

Pastikan Route 53 mengelola DNS Anda

Ini hanya berfungsi jika Route 53 yang menjawab permintaan DNS untuk domain Anda. Di Route 53, record Anda berada di dalam hosted zone untuk domain, dan zone tersebut hanya aktif ketika nameserver domain Anda mengarah ke empat nameserver Route 53 yang terdaftar di zone. Buka hosted zone, periksa record NS-nya, dan konfirmasi nameserver tersebut sudah ditetapkan di registrar Anda. Jika nameserver Anda mengarah ke tempat lain, tambahkan record CAA di penyedia yang mengelola DNS Anda.

Ketahui otoritas sertifikat Anda terlebih dahulu

Sebelum menambahkan apa pun, cari tahu otoritas mana yang menerbitkan sertifikat Anda, atau Anda berisiko mengunci penyedia Anda sendiri. Nilai umum:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (digunakan oleh sebagian besar sertifikat gratis dan otomatis)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Jika Anda menggunakan AWS Certificate Manager untuk menyediakan sertifikat, Anda harus mengizinkan amazon.com atau ACM tidak akan dapat menerbitkan. Jika tidak yakin, tanyakan kepada yang menyiapkan hosting Anda, atau periksa sertifikat di browser (klik gembok, lalu lihat penerbit sertifikat).

Langkah-langkah di Route 53

1. Masuk ke AWS Management Console dan buka Route 53.
2. Di menu kiri, pilih Hosted zones, lalu pilih domain Anda.
3. Klik Create record.
4. Biarkan kolom Record name kosong untuk menerapkan record ke root domain (apex). Jangan ketik nama domain di sini.
5. Atur Record type ke CAA.
6. Di kotak Value, masukkan record dalam format tiga bagian Route 53 pada satu baris: 0 issue "letsencrypt.org" Yaitu flags (0), kemudian tag (issue), kemudian otoritas sertifikat dalam tanda kutip ganda.
7. Biarkan TTL pada nilai default (300 detik sudah baik).
8. Pilih Simple routing jika ditanya, lalu klik Create records.

Mengizinkan lebih dari satu otoritas sertifikat

Sebagian besar domain menggunakan lebih dari satu otoritas seiring waktu — misalnya, AWS Certificate Manager untuk satu layanan dan Let’s Encrypt untuk yang lain. Di Route 53, Anda menambahkan otoritas tambahan sebagai baris tambahan dalam kotak Value record CAA yang sama, satu per baris:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Bersama-sama, keduanya menyatakan kedua otoritas ini diizinkan, tidak ada yang lain. Setiap baris adalah entri issue terpisah; Anda tidak meletakkan dua otoritas dalam satu baris.

Kesalahan umum di Route 53

• Kesalahan terbesar adalah mengunci otoritas Anda sendiri. Jika Anda menambahkan record CAA yang hanya mencantumkan digicert.com tetapi sertifikat Anda sebenarnya diperbarui melalui Let’s Encrypt atau ACM, pembaruan berikutnya akan gagal diam-diam dan gembok Anda bisa rusak beberapa minggu kemudian. Selalu sertakan setiap otoritas yang benar-benar Anda gunakan sebelum menyimpan.
• Izinkan amazon.com untuk ACM. Jika sertifikat Anda berasal dari AWS Certificate Manager dan record CAA Anda tidak menyertakan amazon.com, validasi dan pembaruan ACM akan gagal. Ini adalah jebakan paling umum yang spesifik untuk Route 53.
• Tanda kutip di sekitar CA wajib ada. Route 53 mengharapkan 0 issue "letsencrypt.org" dengan otoritas dalam tanda kutip ganda. Menghilangkannya membuat record tidak valid.
• Biarkan nama record kosong untuk root. Nama kosong menerapkan record di apex; mengetik nama domain di sana membuatnya di tempat yang salah.
• Flags adalah 0 untuk record normal. Nilai lain, 128, adalah mode ketat — hanya gunakan secara sengaja.
• Gunakan domain kosong, bukan URL. Nilainya adalah letsencrypt.org, bukan https://letsencrypt.org dan bukan www..
• Berikan waktu. Perubahan DNS bisa memakan waktu beberapa menit hingga beberapa jam untuk berlaku. Sertifikat yang ada tetap berfungsi; CAA hanya diperiksa saat sertifikat baru diterbitkan atau diperbarui.

Verifikasi bahwa ini berhasil

Setelah disimpan dan tersebar, jalankan pemeriksaan gratis di situs ini. Hasilnya akan memberi tahu Anda dalam bahasa yang mudah dipahami apakah record CAA Anda sudah terpasang dan otoritas mana yang telah Anda izinkan.

Selesai? Periksa domain Anda gratis untuk mengonfirmasi berhasil — dan lihat nilai lengkap Anda di seluruh 34 pemeriksaan.