Defaults.Exposed › Persediaan › CAA

Cara menyediakan rekod CAA di AWS Route 53

Tambah rekod CAA dalam AWS Route 53 untuk mengawal pihak berkuasa sijil mana yang dibenarkan mengeluarkan sijil SSL untuk domain anda.

Mengapa ini penting untuk perniagaan anda

Rekod CAA menamakan pihak berkuasa sijil (syarikat yang mengeluarkan sijil SSL/TLS di sebalik gembok dalam pelayar) yang dibenarkan mengeluarkan sijil untuk domain anda. Mana-mana pihak berkuasa yang mengikut peraturan mesti menyemak rekod ini dahulu dan menolak permintaan jika ia tiada dalam senarai.

Dalam bahasa mudah: tanpa rekod CAA, mana-mana daripada ratusan pihak berkuasa sijil di seluruh dunia boleh ditipu atau membuat kesilapan dan menyerahkan sijil sah untuk domain anda kepada seseorang — yang boleh digunakan penyerang untuk menyamar laman web anda dengan meyakinkan. Rekod CAA menutup pintu itu dengan berkata hanya pihak berkuasa ini sahaja, tiada yang lain. Ia percuma dan mengambil masa beberapa minit.

Sahkan Route 53 menguruskan DNS anda

Ini hanya berfungsi jika Route 53 menjawab DNS untuk domain anda. Dalam Route 53, rekod anda berada dalam zon hos untuk domain tersebut, dan zon itu hanya aktif apabila nameserver domain anda menunjuk ke empat nameserver Route 53 yang disenaraikan dalam zon. Buka zon hos, semak rekod NS-nya, dan sahkan nameserver tersebut ditetapkan di pendaftar anda. Jika nameserver anda menunjuk ke tempat lain, tambah rekod CAA di penyedia yang menguruskan DNS anda.

Ketahui pihak berkuasa sijil anda dahulu

Sebelum menambah apa-apa, ketahui pihak berkuasa mana yang mengeluarkan sijil anda, atau anda berisiko mengunci keluar penyedia anda sendiri. Nilai biasa:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (digunakan oleh kebanyakan sijil percuma dan automatik)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Jika anda menggunakan AWS Certificate Manager untuk memperuntukkan sijil, anda mesti membenarkan amazon.com atau ACM tidak akan dapat mengeluarkan sijil. Jika anda tidak pasti, tanya sesiapa yang menyediakan hosting anda, atau semak sijil dalam pelayar anda (klik gembok, kemudian lihat penerbit sijil).

Langkah demi langkah di Route 53

1. Log masuk ke AWS Management Console dan buka Route 53.
2. Dalam menu kiri, pilih Hosted zones, kemudian pilih domain anda.
3. Klik Create record.
4. Biarkan medan Record name kosong untuk menggunakan rekod pada akar domain anda (apex). Jangan taip nama domain anda di sini.
5. Tetapkan Record type kepada CAA.
6. Dalam kotak Value, masukkan rekod dalam format tiga bahagian Route 53 pada satu baris: 0 issue "letsencrypt.org" Iaitu bendera (0), kemudian tag (issue), kemudian pihak berkuasa sijil dalam tanda petikan berganda.
7. Biarkan TTL pada lalai (300 saat adalah baik).
8. Pilih Simple routing jika ditanya, kemudian klik Create records.

Membenarkan lebih dari satu pihak berkuasa sijil

Kebanyakan domain menggunakan lebih dari satu pihak berkuasa dari semasa ke semasa — contohnya, AWS Certificate Manager untuk satu perkhidmatan dan Let’s Encrypt untuk yang lain. Dalam Route 53, anda menambah pihak berkuasa tambahan sebagai baris tambahan dalam kotak Value rekod CAA yang sama, satu setiap baris:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Bersama-sama, rekod tersebut bermaksud kedua-dua pihak berkuasa ini dibenarkan, tiada yang lain. Setiap baris adalah entri issue yang berasingan; anda tidak meletakkan dua pihak berkuasa pada satu baris.

Kesilapan lazim di Route 53

• Kesilapan terbesar ialah mengunci keluar pihak berkuasa anda sendiri. Jika anda menambah rekod CAA yang hanya menyenaraikan digicert.com tetapi sijil anda sebenarnya diperbaharui melalui Let’s Encrypt atau ACM, pembaharuan seterusnya akan gagal secara senyap dan gembok anda boleh rosak minggu kemudian. Sentiasa sertakan setiap pihak berkuasa yang anda benar-benar gunakan sebelum menyimpan.
• Benarkan amazon.com untuk ACM. Jika sijil anda datang daripada AWS Certificate Manager dan rekod CAA anda tidak menyertakan amazon.com, pengesahan dan pembaharuan ACM akan gagal. Inilah kesilapan khusus Route 53 yang paling biasa.
• Tanda petikan di sekitar CA adalah wajib. Route 53 mengharapkan 0 issue "letsencrypt.org" dengan pihak berkuasa dalam tanda petikan berganda. Meninggalkannya menjadikan rekod tidak sah.
• Biarkan nama rekod kosong untuk akar. Nama kosong menggunakan rekod pada apex; menaip nama domain di sana mewujudkannya di tempat yang salah.
• Flags adalah 0 untuk rekod biasa. Nilai lain, 128, adalah mod ketat — hanya gunakan dengan sengaja.
• Gunakan domain terdedah, bukan URL. Nilainya ialah letsencrypt.org, bukan https://letsencrypt.org dan bukan www..
• Beri masa. Perubahan DNS boleh mengambil beberapa minit hingga beberapa jam untuk berkuat kuasa. Sijil sedia ada terus berfungsi; CAA hanya diperiksa apabila sijil baru dikeluarkan atau diperbaharui.

Sahkan ia berfungsi

Selepas disimpan dan disebarkan, jalankan semakan percuma di laman ini. Ia akan memberitahu anda dalam bahasa mudah sama ada rekod CAA anda sudah sedia dan pihak berkuasa mana yang telah anda benarkan.

Sudah selesai? Semak domain anda secara percuma untuk mengesahkan ia berjaya — dan lihat gred penuh anda merentasi kesemua 34 semakan.