Defaults.Exposed › Configurazione › CAA

Come configurare un record CAA su Cloudflare

Aggiungi un record CAA in Cloudflare per controllare quali autorità di certificazione possono emettere certificati SSL per il tuo dominio.

Perché è importante per la tua azienda

Un record CAA indica quali autorità di certificazione (le aziende che emettono i certificati SSL/TLS dietro il lucchetto nel browser) possono emettere un certificato per il tuo dominio. Ogni autorità che rispetta le regole deve consultare prima questo record e rifiutare la richiesta se non è nell’elenco.

In parole semplici: senza un record CAA, una qualunque delle centinaia di autorità di certificazione nel mondo potrebbe essere ingannata o commettere un errore e rilasciare a qualcuno un certificato valido per il tuo dominio — che un malintenzionato potrebbe usare per impersonare il tuo sito in modo molto convincente. Un record CAA chiude questa porta dicendo solo queste autorità, nessun’altra. È gratuito e richiede pochi minuti.

Verifica che sia Cloudflare a gestire il tuo DNS

Funziona solo se è Cloudflare a rispondere al DNS per il tuo dominio. Cloudflare è il tuo host DNS, e il suo DNS è attivo solo quando i nameserver del tuo dominio puntano ai nameserver Cloudflare mostrati nella dashboard. Apri il tuo dominio in Cloudflare e controlla la pagina Overview per confermare che Cloudflare sia attivo. Se i tuoi nameserver puntano altrove, aggiungi il record CAA presso il provider che gestisce davvero il tuo DNS.

Identifica prima la tua autorità di certificazione

Prima di aggiungere qualunque cosa, scopri quale autorità emette il tuo certificato, altrimenti rischi di escludere il tuo stesso provider. Valori comuni:

• letsencrypt.org — Let’s Encrypt (usata dalla maggior parte dei certificati gratuiti e automatizzati)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Una nota su Cloudflare: se usi l’SSL di Cloudflare (la configurazione con proxy a nuvola arancione), Cloudflare emette certificati tramite diverse autorità per tuo conto — quindi assicurati che qualunque record CAA tu aggiunga continui a consentirle, oppure lascia che sia Cloudflare a gestire il CAA. Se non sei sicuro, chiedi a chi ha configurato il tuo hosting, oppure controlla il certificato nel browser (clicca sul lucchetto, poi visualizza l’emittente del certificato).

Passo dopo passo su Cloudflare

1. Accedi a Cloudflare e seleziona il tuo dominio.
2. Nel menu a sinistra, vai alle impostazioni DNS (cerca DNS / Records).
3. Clicca Add record.
4. Imposta Tipo su CAA.
5. Nel campo Nome, inserisci: @ La @ indica la radice del tuo dominio. Cloudflare aggiunge il dominio per te, quindi non digitarlo dopo.
6. Cloudflare mostra i campi CAA come menu intuitivi. Impostali così:
   • Flag: 0
   • Tag: scegli Only allow specific hostnames (è il tag issue)
   • CA domain name (il valore): letsencrypt.org
7. Lascia TTL su Auto.
8. Clicca Save.

Consentire più di un’autorità di certificazione

La maggior parte dei domini usa più di un’autorità nel tempo — per esempio un certificato gratuito oggi e uno a pagamento più avanti, oppure un’altra per un servizio separato. Per consentirne più di una, aggiungi un record CAA separato per ciascuna. Usano tutte lo stesso nome @, flag 0 e tag issue — cambia solo il valore del dominio CA:

• un record con valore letsencrypt.org
• un record con valore digicert.com

Insieme significano entrambe queste autorità sono consentite, nessun’altra. Non vanno combinate in un unico record.

Errori frequenti su Cloudflare

• L’errore più grave è escludere la propria autorità. Se aggiungi un record CAA che elenca solo digicert.com ma il tuo certificato si rinnova in realtà tramite Let’s Encrypt, il prossimo rinnovo fallirà silenziosamente e il lucchetto potrebbe smettere di funzionare dopo settimane. Includi sempre ogni autorità che usi davvero prima di salvare.
• Attenzione all’SSL di Cloudflare. Se il tuo traffico passa attraverso Cloudflare (nuvola arancione), Cloudflare deve poter ottenere i certificati edge. Aggiungere un record CAA che esclude le autorità usate da Cloudflare può interromperne il funzionamento — nel dubbio, consenti Let’s Encrypt e Google Trust Services (pki.goog) accanto alla tua, oppure lascia il CAA a Cloudflare.
• Il nome è @, non il tuo dominio. Usa @ per la radice; Cloudflare aggiunge da sé il dominio.
• La dicitura del tag è diversa. Cloudflare etichetta il tag issue come Only allow specific hostnames nel suo menu. È la scelta giusta per l’uso normale.
• Il flag è 0 per un record normale. L’altro valore, 128, è una modalità rigida — usalo solo deliberatamente.
• Usa il dominio nudo, non un URL. Il valore è letsencrypt.org, mai https://letsencrypt.org e mai www..
• Nessun proxy su un record CAA. Il CAA è un record DNS puro — qui non c’è alcun interruttore a nuvola arancione/grigia di cui preoccuparsi.
• Dagli tempo. Le modifiche DNS possono richiedere da pochi minuti fino a un paio d’ore per avere effetto. I certificati esistenti continuano a funzionare; il CAA viene controllato solo quando se ne emette o rinnova uno nuovo.

Verifica che abbia funzionato

Una volta salvato e propagato, esegui il controllo gratuito su questo sito. Ti dirà in parole semplici se il tuo record CAA è in posizione e quali autorità hai consentito.

Fatto? Verifica il tuo dominio gratis per confermare che ha funzionato — e vedere il tuo voto completo su tutti e 34 i controlli.