Defaults.Exposed › Diegimas › CAA

Kaip nustatyti CAA įrašą „GoDaddy” sistemoje

Pridėkite CAA įrašą „GoDaddy” sistemoje ir nurodykite, kurios sertifikavimo institucijos turi teisę išduoti SSL sertifikatus jūsų domenui.

Kodėl tai svarbu jūsų verslui

CAA įrašas nurodo, kurioms sertifikavimo institucijoms (įmonėms, išduodančioms SSL/TLS sertifikatus už naršyklės spynos simbolio) leidžiama išduoti sertifikatą jūsų domenui. Bet kuri institucija, laikanti taisyklių, prieš išduodama sertifikatą privalo patikrinti šį įrašą ir atsisakyti, jei ji nėra sąraše.

Paprastai tariant: be CAA įrašo bet kuri iš šimtų pasaulio sertifikavimo institucijų galėtų būti apgauta arba padaryti klaidą ir išduoti galiojantį jūsų domeno sertifikatą užpuolikui — kuris galėtų įtikinamai apsimesti jūsų svetaine. CAA įrašas uždaro šią spragą, sakydamas: tik šios institucijos, niekas kitas. Tai nemokama ir užtrunka kelias minutes.

Patvirtinkite, kad „GoDaddy” valdo jūsų DNS

Tai veikia tik jei „GoDaddy” atsako į DNS užklausas jūsų domeno vardu. „GoDaddy” parduoda domenus ir taip pat teikia DNS paslaugas, tačiau tai du skirtingi dalykai — jūsų domeno vardų serveriai turi nukreipti į „GoDaddy”, kad čia pridėti įrašai būtų aktyvūs. Prisijunkite, atidarykite domeną ir patikrinkite, ar vardų serveriai priklauso „GoDaddy”. Jei nukreipti kitur — pridėkite CAA įrašą pas tą DNS tiekėją.

Pirmiausia sužinokite savo sertifikavimo instituciją

Prieš ką nors pridėdami, išsiaiškinkite, kuri institucija išduoda jūsų sertifikatą — priešingu atveju rizikuojate užblokuoti savo tiekėją. Dažniausios reikšmės:

• letsencrypt.org — Let’s Encrypt (naudojama daugumai nemokamų ir automatinių sertifikatų)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Jei nesate tikri — paklauskite asmens, kuris nustatė jūsų prieglobą, arba patikrinkite sertifikatą naršyklėje (spustelėkite spyną, tada peržiūrėkite sertifikato išdavėją).

Žingsniai „GoDaddy” sistemoje

1. Prisijunkite prie „GoDaddy” ir atidarykite Domain Portfolio (arba My Products).
2. Raskite savo domeną ir atidarykite jo DNS valdymo puslapį (ieškokite DNS arba Manage DNS).
3. Įrašų sąraše spustelėkite Add (arba Add New Record).
4. Nustatykite Type į CAA.
5. Lauke Name (arba Host) įveskite: @ Simbolis @ reiškia jūsų domeno šaknį. Nerašykite domeno vardo čia.
6. Nustatykite Flags į: 0
7. Nustatykite Tag į: issue
8. Lauke Value įveskite sertifikavimo institucijos identifikatorių, pvz.: letsencrypt.org
9. TTL palikite numatytąjį (1 valanda tinka).
10. Spustelėkite Save.

Leidimas daugiau nei vienai sertifikavimo institucijai

Daugelis domenų laikui bėgant naudoja daugiau nei vieną instituciją — pavyzdžiui, šiandien nemokamą sertifikatą, vėliau mokamą, arba skirtingą atskirai paslaugai. Norėdami leisti kelias, pridėkite atskirą CAA įrašą kiekvienai. Visos naudoja tą patį @ vardą, 0 vėliavą ir issue žymą — keičiasi tik reikšmė:

• vienas įrašas su reikšme letsencrypt.org
• vienas įrašas su reikšme digicert.com

Kartu tai sako: abi šios institucijos yra leidžiamos, jokios kitos. Neskombinuokite jų į vieną įrašą.

Dažnos klaidos „GoDaddy” sistemoje

• Didžiausia klaida — užblokuoti savo instituciją. Jei pridėsite CAA įrašą, išvardijantį tik digicert.com, bet jūsų sertifikatas iš tikrųjų atnaujinamas per Let’s Encrypt — kitas atnaujinimas tyliai nepavyks ir jūsų spyna gali sugesti po kelių savaičių. Prieš išsaugodami visada įtraukite visas institucijas, kurias iš tikrųjų naudojate.
• Name yra @, ne jūsų domenas. Visas domeno vardas lauke Name sukuria įrašą netinkamoje vietoje. Naudokite @ šakniai.
• Flags yra 0 įprastam įrašui. Kita reikšmė, 128, yra griežtas režimas, dėl kurio neatitinkanti institucija atsisakys iš karto — naudokite tik sąmoningai. Įprastam naudojimui — 0.
• Naudokite tik domeną, ne URL. Reikšmė yra letsencrypt.org, ne https://letsencrypt.org ir ne www..
• Nepridėkite savo kabučių. Įveskite paprastą reikšmę; „GoDaddy” pats kabutina.
• Palaukite. DNS pakeitimai gali įsigalioti per kelias minutes iki poros valandų. Esami sertifikatai toliau veiks; CAA tikrinamas tik išduodant arba atnaujinant naują sertifikatą.

Patikrinkite, ar veikia

Išsaugojus ir propagavus, paleiskite nemokamą patikrinimą šiame tinklalapyje. Jis paprastai pasakys, ar jūsų CAA įrašas yra ir kurioms institucijoms leidote veikti.

Atlikta? Patikrinkite savo domeną nemokamai kad patvirtintumėte, jog veikia — ir pamatytumėte pilną įvertinimą pagal visus 34 kriterijus.