Defaults.Exposed › Configurazione › CAA

Come configurare un record CAA su AWS Route 53

Aggiungi un record CAA in AWS Route 53 per controllare quali autorità di certificazione possono emettere certificati SSL per il tuo dominio.

Perché è importante per la tua azienda

Un record CAA indica quali autorità di certificazione (le aziende che emettono i certificati SSL/TLS dietro il lucchetto nel browser) possono emettere un certificato per il tuo dominio. Ogni autorità che rispetta le regole deve consultare prima questo record e rifiutare la richiesta se non è nell’elenco.

In parole semplici: senza un record CAA, una qualunque delle centinaia di autorità di certificazione nel mondo potrebbe essere ingannata o commettere un errore e rilasciare a qualcuno un certificato valido per il tuo dominio — che un malintenzionato potrebbe usare per impersonare il tuo sito in modo molto convincente. Un record CAA chiude questa porta dicendo solo queste autorità, nessun’altra. È gratuito e richiede pochi minuti.

Verifica che sia Route 53 a gestire il tuo DNS

Funziona solo se è Route 53 a rispondere al DNS per il tuo dominio. In Route 53 i tuoi record vivono dentro una hosted zone del dominio, e quella zona è attiva solo quando i nameserver del tuo dominio puntano ai quattro nameserver Route 53 elencati nella zona. Apri la hosted zone, controlla il suo record NS e conferma che quei nameserver siano impostati presso il tuo registrar. Se i tuoi nameserver puntano altrove, aggiungi il record CAA presso il provider che gestisce davvero il tuo DNS.

Identifica prima la tua autorità di certificazione

Prima di aggiungere qualunque cosa, scopri quale autorità emette il tuo certificato, altrimenti rischi di escludere il tuo stesso provider. Valori comuni:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (usata dalla maggior parte dei certificati gratuiti e automatizzati)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Se usi AWS Certificate Manager per fornire i certificati, devi consentire amazon.com o ACM non potrà emetterli. Se non sei sicuro, chiedi a chi ha configurato il tuo hosting, oppure controlla il certificato nel browser (clicca sul lucchetto, poi visualizza l’emittente del certificato).

Passo dopo passo su Route 53

1. Accedi alla AWS Management Console e apri Route 53.
2. Nel menu a sinistra, scegli Hosted zones, poi seleziona il tuo dominio.
3. Clicca Create record.
4. Lascia vuoto il campo Record name per applicare il record alla radice del tuo dominio (l’apex). Non digitare qui il nome del tuo dominio.
5. Imposta Record type su CAA.
6. Nella casella Value, inserisci il record nel formato a tre parti di Route 53 su un’unica riga: 0 issue "letsencrypt.org" Sono il flag (0), poi il tag (issue), poi l’autorità di certificazione tra virgolette doppie.
7. Lascia TTL al valore predefinito (300 secondi va bene).
8. Scegli Simple routing se richiesto, poi clicca Create records.

Consentire più di un’autorità di certificazione

La maggior parte dei domini usa più di un’autorità nel tempo — per esempio AWS Certificate Manager per un servizio e Let’s Encrypt per un altro. In Route 53 aggiungi le autorità extra come righe aggiuntive nella casella Value dello stesso record CAA, una per riga:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Insieme significano entrambe queste autorità sono consentite, nessun’altra. Ogni riga è una voce issue separata; non si mettono due autorità sulla stessa riga.

Errori frequenti su Route 53

• L’errore più grave è escludere la propria autorità. Se aggiungi un record CAA che elenca solo digicert.com ma il tuo certificato si rinnova in realtà tramite Let’s Encrypt o ACM, il prossimo rinnovo fallirà silenziosamente e il lucchetto potrebbe smettere di funzionare dopo settimane. Includi sempre ogni autorità che usi davvero prima di salvare.
• Consenti amazon.com per ACM. Se i tuoi certificati provengono da AWS Certificate Manager e il tuo record CAA non include amazon.com, la convalida e il rinnovo di ACM falliranno. È l’inciampo più comune specifico di Route 53.
• Le virgolette intorno alla CA sono obbligatorie. Route 53 si aspetta 0 issue "letsencrypt.org" con l’autorità tra virgolette doppie. Ometterle rende il record non valido.
• Lascia vuoto il nome del record per la radice. Un nome vuoto applica il record all’apex; digitare lì il nome del dominio lo crea nel posto sbagliato.
• Il flag è 0 per un record normale. L’altro valore, 128, è una modalità rigida — usalo solo deliberatamente.
• Usa il dominio nudo, non un URL. Il valore è letsencrypt.org, mai https://letsencrypt.org e mai www..
• Dagli tempo. Le modifiche DNS possono richiedere da pochi minuti fino a un paio d’ore per avere effetto. I certificati esistenti continuano a funzionare; il CAA viene controllato solo quando se ne emette o rinnova uno nuovo.

Verifica che abbia funzionato

Una volta salvato e propagato, esegui il controllo gratuito su questo sito. Ti dirà in parole semplici se il tuo record CAA è in posizione e quali autorità hai consentito.

Fatto? Verifica il tuo dominio gratis per confermare che ha funzionato — e vedere il tuo voto completo su tutti e 34 i controlli.