Defaults.Exposed › Persediaan › CAA

Cara menyediakan rekod CAA di Cloudflare

Tambah rekod CAA di Cloudflare untuk mengawal pihak berkuasa sijil mana yang dibenarkan mengeluarkan sijil SSL untuk domain anda.

Mengapa ini penting untuk perniagaan anda

Rekod CAA menamakan pihak berkuasa sijil (syarikat yang mengeluarkan sijil SSL/TLS di sebalik gembok dalam pelayar) yang dibenarkan mengeluarkan sijil untuk domain anda. Mana-mana pihak berkuasa yang mengikut peraturan mesti menyemak rekod ini dahulu dan menolak permintaan jika ia tiada dalam senarai.

Dalam bahasa mudah: tanpa rekod CAA, mana-mana daripada ratusan pihak berkuasa sijil di seluruh dunia boleh ditipu atau membuat kesilapan dan menyerahkan sijil sah untuk domain anda kepada seseorang — yang boleh digunakan penyerang untuk menyamar laman web anda dengan meyakinkan. Rekod CAA menutup pintu itu dengan berkata hanya pihak berkuasa ini sahaja, tiada yang lain. Ia percuma dan mengambil masa beberapa minit.

Sahkan Cloudflare menguruskan DNS anda

Ini hanya berfungsi jika Cloudflare menjawab DNS untuk domain anda. Cloudflare adalah hos DNS anda, dan DNS-nya hanya aktif apabila nameserver domain anda menunjuk ke nameserver Cloudflare yang ditunjukkan dalam papan pemuka anda. Buka domain anda di Cloudflare dan semak halaman Overview untuk mengesahkan Cloudflare aktif. Jika nameserver anda menunjuk ke tempat lain, tambah rekod CAA di penyedia yang menguruskan DNS anda.

Ketahui pihak berkuasa sijil anda dahulu

Sebelum menambah apa-apa, ketahui pihak berkuasa mana yang mengeluarkan sijil anda, atau anda berisiko mengunci keluar penyedia anda sendiri. Nilai biasa:

• letsencrypt.org — Let’s Encrypt (digunakan oleh kebanyakan sijil percuma dan automatik)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Nota Cloudflare: jika anda menggunakan SSL Cloudflare sendiri (persediaan awan oren yang diproksi), Cloudflare mengeluarkan sijil melalui beberapa pihak berkuasa bagi pihak anda — jadi pastikan mana-mana rekod CAA yang anda tambah masih membenarkan pihak berkuasa tersebut, atau biarkan Cloudflare menguruskan CAA untuk anda. Jika anda tidak pasti, tanya sesiapa yang menyediakan hosting anda, atau semak sijil dalam pelayar anda (klik gembok, kemudian lihat penerbit sijil).

Langkah demi langkah di Cloudflare

1. Log masuk ke Cloudflare dan pilih domain anda.
2. Dalam menu kiri, pergi ke tetapan DNS anda (cari DNS / Records).
3. Klik Add record.
4. Tetapkan Type kepada CAA.
5. Dalam medan Name, masukkan: @ @ bermakna akar domain anda. Cloudflare menambahkan domain untuk anda, jadi jangan taip nama domain anda selepasnya.
6. Cloudflare menunjukkan medan CAA sebagai menu mesra. Tetapkan seperti berikut:
   • Flags: 0
   • Tag: pilih Only allow specific hostnames (ini adalah tag issue)
   • CA domain name (nilai): letsencrypt.org
7. Biarkan TTL pada Auto.
8. Klik Save.

Membenarkan lebih dari satu pihak berkuasa sijil

Kebanyakan domain menggunakan lebih dari satu pihak berkuasa dari semasa ke semasa — contohnya, sijil percuma hari ini dan sijil berbayar kemudian, atau satu yang berbeza untuk perkhidmatan berasingan. Untuk membenarkan beberapa, tambah rekod CAA berasingan untuk setiap satu. Semuanya menggunakan nama @, bendera 0, dan tag issue yang sama — hanya nilai domain CA yang berubah:

• satu rekod dengan nilai letsencrypt.org
• satu rekod dengan nilai digicert.com

Bersama-sama, rekod tersebut bermaksud kedua-dua pihak berkuasa ini dibenarkan, tiada yang lain. Anda tidak menggabungkannya dalam satu rekod.

Kesilapan lazim di Cloudflare

• Kesilapan terbesar ialah mengunci keluar pihak berkuasa anda sendiri. Jika anda menambah rekod CAA yang hanya menyenaraikan digicert.com tetapi sijil anda sebenarnya diperbaharui melalui Let’s Encrypt, pembaharuan seterusnya akan gagal secara senyap dan gembok anda boleh rosak minggu kemudian. Sentiasa sertakan setiap pihak berkuasa yang anda benar-benar gunakan sebelum menyimpan.
• Awas dengan SSL Cloudflare sendiri. Jika lalu lintas anda melalui Cloudflare (awan oren), Cloudflare perlu dapat memperoleh sijil tepi. Menambah rekod CAA yang mengecualikan pihak berkuasa yang Cloudflare gunakan boleh memecahkan hal itu — jika ragu-ragu, benarkan Let’s Encrypt dan Google Trust Services (pki.goog) bersama milik anda, atau biarkan Cloudflare menguruskan CAA.
• Name adalah @, bukan domain anda. Gunakan @ untuk akar; Cloudflare menambahkan domain sendiri.
• Perkataan tag berbeza. Cloudflare melabelkan tag issue sebagai Only allow specific hostnames dalam menunya. Itulah pilihan yang betul untuk penggunaan biasa.
• Flags adalah 0 untuk rekod biasa. Nilai lain, 128, adalah mod ketat — hanya gunakan dengan sengaja.
• Gunakan domain terdedah, bukan URL. Nilainya ialah letsencrypt.org, bukan https://letsencrypt.org dan bukan www..
• Tiada proksi pada rekod CAA. CAA adalah rekod DNS tulen — tiada togol awan oren/kelabu yang perlu dibimbangkan di sini.
• Beri masa. Perubahan DNS boleh mengambil beberapa minit hingga beberapa jam untuk berkuat kuasa. Sijil sedia ada terus berfungsi; CAA hanya diperiksa apabila sijil baru dikeluarkan atau diperbaharui.

Sahkan ia berfungsi

Selepas disimpan dan disebarkan, jalankan semakan percuma di laman ini. Ia akan memberitahu anda dalam bahasa mudah sama ada rekod CAA anda sudah sedia dan pihak berkuasa mana yang telah anda benarkan.

Sudah selesai? Semak domain anda secara percuma untuk mengesahkan ia berjaya — dan lihat gred penuh anda merentasi kesemua 34 semakan.