Defaults.Exposed › Persediaan › CAA

Cara menyediakan rekod CAA di Namecheap

Tambah rekod CAA di Namecheap untuk mengawal pihak berkuasa sijil mana yang dibenarkan mengeluarkan sijil SSL untuk domain anda.

Mengapa ini penting untuk perniagaan anda

Rekod CAA menamakan pihak berkuasa sijil (syarikat yang mengeluarkan sijil SSL/TLS di sebalik gembok dalam pelayar) yang dibenarkan mengeluarkan sijil untuk domain anda. Mana-mana pihak berkuasa yang mengikut peraturan mesti menyemak rekod ini dahulu dan menolak permintaan jika ia tiada dalam senarai.

Dalam bahasa mudah: tanpa rekod CAA, mana-mana daripada ratusan pihak berkuasa sijil di seluruh dunia boleh ditipu atau membuat kesilapan dan menyerahkan sijil sah untuk domain anda kepada seseorang — yang boleh digunakan penyerang untuk menyamar laman web anda dengan meyakinkan. Rekod CAA menutup pintu itu dengan berkata hanya pihak berkuasa ini sahaja, tiada yang lain. Ia percuma dan mengambil masa beberapa minit.

Sahkan Namecheap menguruskan DNS anda

Ini hanya berfungsi jika Namecheap menjawab DNS untuk domain anda. Rekod di bawah pergi ke Advanced DNS, yang hanya aktif apabila domain anda menggunakan Namecheap BasicDNS (atau PremiumDNS). Log masuk, buka Domain List, klik Manage pada domain anda, dan sahkan nameserver ditetapkan ke Namecheap. Jika nameserver anda menunjuk ke tempat lain, tambah rekod CAA di penyedia yang menguruskan DNS anda.

Ketahui pihak berkuasa sijil anda dahulu

Sebelum menambah apa-apa, ketahui pihak berkuasa mana yang mengeluarkan sijil anda, atau anda berisiko mengunci keluar penyedia anda sendiri. Nilai biasa:

• letsencrypt.org — Let’s Encrypt (digunakan oleh kebanyakan sijil percuma dan automatik)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Jika anda tidak pasti, tanya sesiapa yang menyediakan hosting anda, atau semak sijil dalam pelayar anda (klik gembok, kemudian lihat penerbit sijil).

Langkah demi langkah di Namecheap

1. Log masuk ke Namecheap dan buka Domain List.
2. Klik Manage di sebelah domain anda.
3. Buka tab Advanced DNS.
4. Di bawah Host Records, klik Add New Record.
5. Tetapkan Type rekod kepada CAA Record.
6. Dalam medan Host, masukkan: @ @ bermakna akar domain anda. Jangan taip nama domain anda di sini.
7. Dalam medan Flag, masukkan: 0
8. Dalam medan Tag, pilih: issue
9. Dalam medan Value (CA domain), masukkan pengecam pihak berkuasa sijil anda, contohnya: letsencrypt.org
10. Biarkan TTL pada Automatic.
11. Klik tanda tick hijau untuk simpan, kemudian Save All Changes jika diminta.

Membenarkan lebih dari satu pihak berkuasa sijil

Kebanyakan domain menggunakan lebih dari satu pihak berkuasa dari semasa ke semasa — contohnya, sijil percuma hari ini dan sijil berbayar kemudian, atau satu yang berbeza untuk perkhidmatan berasingan. Untuk membenarkan beberapa, tambah rekod CAA berasingan untuk setiap satu. Semuanya menggunakan hos @, bendera 0, dan tag issue yang sama — hanya nilai yang berubah:

• satu rekod dengan nilai letsencrypt.org
• satu rekod dengan nilai digicert.com

Bersama-sama, rekod tersebut bermaksud kedua-dua pihak berkuasa ini dibenarkan, tiada yang lain. Anda tidak menggabungkannya dalam satu rekod.

Kesilapan lazim di Namecheap

• Kesilapan terbesar ialah mengunci keluar pihak berkuasa anda sendiri. Jika anda menambah rekod CAA yang hanya menyenaraikan digicert.com tetapi sijil anda sebenarnya diperbaharui melalui Let’s Encrypt, pembaharuan seterusnya akan gagal secara senyap dan gembok anda boleh rosak minggu kemudian. Sentiasa sertakan setiap pihak berkuasa yang anda benar-benar gunakan sebelum menyimpan.
• Host adalah @, bukan domain anda. Menaip nama domain penuh dalam medan Host mewujudkan rekod di tempat yang salah. Gunakan @ untuk akar.
• Flag adalah 0 untuk rekod biasa. Nilai lain, 128, adalah mod ketat yang menyebabkan pihak berkuasa yang tidak mematuhi menolak terus — hanya gunakan dengan sengaja. Untuk penggunaan biasa, 0.
• Gunakan domain terdedah, bukan URL. Nilainya ialah letsencrypt.org, bukan https://letsencrypt.org dan bukan www..
• Pilih jenis CAA, bukan TXT. Namecheap mempunyai jenis CAA Record yang khusus — gunakan ia dan jangan cuba menulis CAA secara manual dalam rekod TXT.
• Beri masa. Perubahan DNS boleh mengambil beberapa minit hingga beberapa jam untuk berkuat kuasa. Sijil sedia ada terus berfungsi; CAA hanya diperiksa apabila sijil baru dikeluarkan atau diperbaharui.

Sahkan ia berfungsi

Selepas disimpan dan disebarkan, jalankan semakan percuma di laman ini. Ia akan memberitahu anda dalam bahasa mudah sama ada rekod CAA anda sudah sedia dan pihak berkuasa mana yang telah anda benarkan.

Sudah selesai? Semak domain anda secara percuma untuk mengesahkan ia berjaya — dan lihat gred penuh anda merentasi kesemua 34 semakan.