Defaults.Exposed › Configurazione › CAA

Come configurare un record CAA su GoDaddy

Aggiungi un record CAA in GoDaddy per controllare quali autorità di certificazione possono emettere certificati SSL per il tuo dominio.

Perché è importante per la tua azienda

Un record CAA indica quali autorità di certificazione (le aziende che emettono i certificati SSL/TLS dietro il lucchetto nel browser) possono emettere un certificato per il tuo dominio. Ogni autorità che rispetta le regole deve consultare prima questo record e rifiutare la richiesta se non è nell’elenco.

In parole semplici: senza un record CAA, una qualunque delle centinaia di autorità di certificazione nel mondo potrebbe essere ingannata o commettere un errore e rilasciare a qualcuno un certificato valido per il tuo dominio — che un malintenzionato potrebbe usare per impersonare il tuo sito in modo molto convincente. Un record CAA chiude questa porta dicendo solo queste autorità, nessun’altra. È gratuito e richiede pochi minuti.

Verifica che sia GoDaddy a gestire il tuo DNS

Funziona solo se è GoDaddy a rispondere al DNS per il tuo dominio. GoDaddy vende domini e ospita anche il DNS, ma le due cose sono separate — i nameserver del tuo dominio devono puntare a GoDaddy perché i record aggiunti qui siano attivi. Accedi, apri il tuo dominio e controlla che i nameserver siano quelli di GoDaddy. Se puntano altrove, aggiungi il record CAA presso il provider che gestisce davvero il tuo DNS.

Identifica prima la tua autorità di certificazione

Prima di aggiungere qualunque cosa, scopri quale autorità emette il tuo certificato, altrimenti rischi di escludere il tuo stesso provider. Valori comuni:

• letsencrypt.org — Let’s Encrypt (usata dalla maggior parte dei certificati gratuiti e automatizzati)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Se non sei sicuro, chiedi a chi ha configurato il tuo hosting, oppure controlla il certificato nel browser (clicca sul lucchetto, poi visualizza l’emittente del certificato).

Passo dopo passo su GoDaddy

1. Accedi a GoDaddy e apri il Portfolio domini (oppure I miei prodotti).
2. Trova il tuo dominio e apri la sua pagina di gestione DNS (cerca DNS o Gestisci DNS).
3. Sotto l’elenco dei record, clicca Aggiungi (oppure Aggiungi nuovo record).
4. Imposta Tipo su CAA.
5. Nel campo Nome (o Host), inserisci: @ La @ indica la radice del tuo dominio. Non digitare qui il nome del tuo dominio.
6. Imposta Flag su: 0
7. Imposta Tag su: issue
8. Nel campo Valore, inserisci l’identificatore della tua autorità di certificazione, per esempio: letsencrypt.org
9. Lascia TTL sul valore predefinito (1 ora va bene).
10. Clicca Salva.

Consentire più di un’autorità di certificazione

La maggior parte dei domini usa più di un’autorità nel tempo — per esempio un certificato gratuito oggi e uno a pagamento più avanti, oppure un’altra per un servizio separato. Per consentirne più di una, aggiungi un record CAA separato per ciascuna. Usano tutte lo stesso nome @, flag 0 e tag issue — cambia solo il valore:

• un record con valore letsencrypt.org
• un record con valore digicert.com

Insieme significano entrambe queste autorità sono consentite, nessun’altra. Non vanno combinate in un unico record.

Errori frequenti su GoDaddy

• L’errore più grave è escludere la propria autorità. Se aggiungi un record CAA che elenca solo digicert.com ma il tuo certificato si rinnova in realtà tramite Let’s Encrypt, il prossimo rinnovo fallirà silenziosamente e il lucchetto potrebbe smettere di funzionare dopo settimane. Includi sempre ogni autorità che usi davvero prima di salvare.
• Il nome è @, non il tuo dominio. Digitare il nome completo del dominio nel campo Nome crea il record nel posto sbagliato. Usa @ per la radice.
• Il flag è 0 per un record normale. L’altro valore, 128, è una modalità rigida che fa rifiutare del tutto un’autorità non conforme — usalo solo deliberatamente. Per l’uso comune, 0.
• Usa il dominio nudo, non un URL. Il valore è letsencrypt.org, mai https://letsencrypt.org e mai www..
• Non aggiungere virgolette tue. Inserisci il valore semplice; GoDaddy gestisce da sé eventuali virgolette.
• Dagli tempo. Le modifiche DNS possono richiedere da pochi minuti fino a un paio d’ore per avere effetto. I certificati esistenti continuano a funzionare; il CAA viene controllato solo quando se ne emette o rinnova uno nuovo.

Verifica che abbia funzionato

Una volta salvato e propagato, esegui il controllo gratuito su questo sito. Ti dirà in parole semplici se il tuo record CAA è in posizione e quali autorità hai consentito.

Fatto? Verifica il tuo dominio gratis per confermare che ha funzionato — e vedere il tuo voto completo su tutti e 34 i controlli.