Defaults.Exposed › Persediaan › CAA

Cara menyediakan rekod CAA di GoDaddy

Tambah rekod CAA di GoDaddy untuk mengawal pihak berkuasa sijil mana yang dibenarkan mengeluarkan sijil SSL untuk domain anda.

Mengapa ini penting untuk perniagaan anda

Rekod CAA menamakan pihak berkuasa sijil (syarikat yang mengeluarkan sijil SSL/TLS di sebalik gembok dalam pelayar) yang dibenarkan mengeluarkan sijil untuk domain anda. Mana-mana pihak berkuasa yang mengikut peraturan mesti menyemak rekod ini dahulu dan menolak permintaan jika ia tiada dalam senarai.

Dalam bahasa mudah: tanpa rekod CAA, mana-mana daripada ratusan pihak berkuasa sijil di seluruh dunia boleh ditipu atau membuat kesilapan dan menyerahkan sijil sah untuk domain anda kepada seseorang — yang boleh digunakan penyerang untuk menyamar laman web anda dengan meyakinkan. Rekod CAA menutup pintu itu dengan berkata hanya pihak berkuasa ini sahaja, tiada yang lain. Ia percuma dan mengambil masa beberapa minit.

Sahkan GoDaddy menguruskan DNS anda

Ini hanya berfungsi jika GoDaddy menjawab DNS untuk domain anda. GoDaddy menjual domain dan juga mengehoskan DNS, tetapi kedua-duanya adalah berasingan — nameserver domain anda mesti menunjuk ke GoDaddy untuk rekod yang anda tambah di sini menjadi aktif. Log masuk, buka domain anda, dan sahkan nameserver adalah milik GoDaddy sendiri. Jika mereka menunjuk ke tempat lain, tambah rekod CAA di penyedia yang menguruskan DNS anda.

Ketahui pihak berkuasa sijil anda dahulu

Sebelum menambah apa-apa, ketahui pihak berkuasa mana yang mengeluarkan sijil anda, atau anda berisiko mengunci keluar penyedia anda sendiri. Nilai biasa:

• letsencrypt.org — Let’s Encrypt (digunakan oleh kebanyakan sijil percuma dan automatik)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Jika anda tidak pasti, tanya sesiapa yang menyediakan hosting anda, atau semak sijil dalam pelayar anda (klik gembok, kemudian lihat penerbit sijil).

Langkah demi langkah di GoDaddy

1. Log masuk ke GoDaddy dan buka Domain Portfolio (atau My Products).
2. Cari domain anda dan buka halaman pengurusan DNS-nya (cari DNS atau Manage DNS).
3. Di bawah senarai rekod, klik Add (atau Add New Record).
4. Tetapkan Type kepada CAA.
5. Dalam medan Name (atau Host), masukkan: @ @ bermakna akar domain anda. Jangan taip nama domain anda di sini.
6. Tetapkan Flags kepada: 0
7. Tetapkan Tag kepada: issue
8. Dalam medan Value, masukkan pengecam pihak berkuasa sijil anda, contohnya: letsencrypt.org
9. Biarkan TTL pada lalai (1 jam adalah baik).
10. Klik Save.

Membenarkan lebih dari satu pihak berkuasa sijil

Kebanyakan domain menggunakan lebih dari satu pihak berkuasa dari semasa ke semasa — contohnya, sijil percuma hari ini dan sijil berbayar kemudian, atau satu yang berbeza untuk perkhidmatan berasingan. Untuk membenarkan beberapa, tambah rekod CAA berasingan untuk setiap satu. Semuanya menggunakan nama @, bendera 0, dan tag issue yang sama — hanya nilai yang berubah:

• satu rekod dengan nilai letsencrypt.org
• satu rekod dengan nilai digicert.com

Bersama-sama, rekod tersebut bermaksud kedua-dua pihak berkuasa ini dibenarkan, tiada yang lain. Anda tidak menggabungkannya dalam satu rekod.

Kesilapan lazim di GoDaddy

• Kesilapan terbesar ialah mengunci keluar pihak berkuasa anda sendiri. Jika anda menambah rekod CAA yang hanya menyenaraikan digicert.com tetapi sijil anda sebenarnya diperbaharui melalui Let’s Encrypt, pembaharuan seterusnya akan gagal secara senyap dan gembok anda boleh rosak minggu kemudian. Sentiasa sertakan setiap pihak berkuasa yang anda benar-benar gunakan sebelum menyimpan.
• Name adalah @, bukan domain anda. Menaip nama domain penuh dalam medan Name mewujudkan rekod di tempat yang salah. Gunakan @ untuk akar.
• Flags adalah 0 untuk rekod biasa. Nilai lain, 128, adalah mod ketat yang menyebabkan pihak berkuasa yang tidak mematuhi menolak terus — hanya gunakan dengan sengaja. Untuk penggunaan biasa, 0.
• Gunakan domain terdedah, bukan URL. Nilainya ialah letsencrypt.org, bukan https://letsencrypt.org dan bukan www..
• Jangan tambah tanda petikan sendiri. Masukkan nilai biasa; GoDaddy menguruskan sebarang petikan sendiri.
• Beri masa. Perubahan DNS boleh mengambil beberapa minit hingga beberapa jam untuk berkuat kuasa. Sijil sedia ada terus berfungsi; CAA hanya diperiksa apabila sijil baru dikeluarkan atau diperbaharui.

Sahkan ia berfungsi

Selepas disimpan dan disebarkan, jalankan semakan percuma di laman ini. Ia akan memberitahu anda dalam bahasa mudah sama ada rekod CAA anda sudah sedia dan pihak berkuasa mana yang telah anda benarkan.

Sudah selesai? Semak domain anda secara percuma untuk mengesahkan ia berjaya — dan lihat gred penuh anda merentasi kesemua 34 semakan.