Defaults.Exposed › Instellen › CAA

Een CAA-record instellen bij GoDaddy

Voeg een CAA-record toe bij GoDaddy om te bepalen welke certificaatautoriteiten SSL-certificaten voor uw domein mogen uitgeven.

Waarom dit belangrijk is voor uw bedrijf

Een CAA-record (Certification Authority Authorization, een DNS-record dat toestemming regelt) benoemt welke certificaatautoriteiten — de bedrijven die de SSL/TLS-certificaten achter het hangslotje in de browser uitgeven — een certificaat voor uw domein mogen uitgeven. Iedere autoriteit die zich aan de regels houdt, moet dit record eerst controleren en de aanvraag weigeren als ze er niet op staat.

Eenvoudig gezegd: zonder een CAA-record zouden honderden certificaatautoriteiten wereldwijd misleid kunnen worden of een fout kunnen maken en iemand een geldig certificaat voor uw domein in handen geven — waarmee een aanvaller uw website overtuigend kan nabootsen. Een CAA-record sluit die deur door te zeggen: alleen deze autoriteiten, niemand anders. Het is gratis en kost een paar minuten.

Controleer of GoDaddy uw DNS beheert

Dit werkt alleen als GoDaddy de DNS voor uw domein beantwoordt. GoDaddy verkoopt domeinen en host ook DNS, maar dat zijn twee aparte zaken — de naamservers van uw domein moeten naar GoDaddy wijzen, anders zijn de records die u hier toevoegt niet actief. Log in, open uw domein en controleer of de naamservers van GoDaddy zelf zijn. Wijzen ze ergens anders heen, voeg het CAA-record dan toe bij de provider die uw DNS beheert.

Ken eerst uw certificaatautoriteit

Voordat u iets toevoegt, zoek uit welke autoriteit uw certificaat uitgeeft, anders sluit u mogelijk uw eigen provider buiten. Veelvoorkomende waarden:

• letsencrypt.org — Let’s Encrypt (gebruikt door de meeste gratis en geautomatiseerde certificaten)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Weet u het niet zeker, vraag het dan aan degene die uw hosting heeft ingericht, of bekijk het certificaat in uw browser (klik op het hangslotje en bekijk de uitgever van het certificaat).

Stap voor stap bij GoDaddy

1. Log in bij GoDaddy en open de Domain Portfolio (of My Products).
2. Zoek uw domein op en open de bijbehorende DNS-beheerpagina (kijk naar DNS of Manage DNS).
3. Klik onder de recordlijst op Add (of Add New Record).
4. Stel Type in op CAA.
5. Voer in het veld Name (of Host) in: @ De @ staat voor de root van uw domein. Typ hier niet uw domeinnaam.
6. Stel Flags in op: 0
7. Stel Tag in op: issue
8. Voer in het veld Value de identifier van uw certificaatautoriteit in, bijvoorbeeld: letsencrypt.org
9. Laat TTL op de standaardwaarde staan (1 uur is prima).
10. Klik op Save.

Meer dan één certificaatautoriteit toestaan

De meeste domeinen gebruiken in de loop van de tijd meer dan één autoriteit — bijvoorbeeld vandaag een gratis certificaat en later een betaald, of een andere voor een aparte dienst. Om er meerdere toe te staan, voegt u voor elke autoriteit een apart CAA-record toe. Ze gebruiken allemaal dezelfde @-naam, 0-flags en issue-tag — alleen de waarde verschilt:

• één record met waarde letsencrypt.org
• één record met waarde digicert.com

Samen zeggen die: beide autoriteiten zijn toegestaan, geen andere. U combineert ze niet tot één record.

GoDaddy-valkuilen waar mensen instappen

• De grootste fout is uw eigen autoriteit buitensluiten. Voegt u een CAA-record toe dat alleen digicert.com vermeldt terwijl uw certificaat in werkelijkheid via Let’s Encrypt verlengt, dan mislukt de volgende verlenging stilletjes en kan uw hangslotje weken later kapotgaan. Neem altijd elke autoriteit op die u echt gebruikt voordat u opslaat.
• Name is @, niet uw domein. Uw volledige domeinnaam in het veld Name typen maakt het record op de verkeerde plek aan. Gebruik @ voor de root.
• Flags is 0 voor een gewoon record. De andere waarde, 128, is een strikte modus die een niet-conforme autoriteit pertinent doet weigeren — gebruik die alleen bewust. Voor normaal gebruik: 0.
• Gebruik het kale domein, geen URL. De waarde is letsencrypt.org, nooit https://letsencrypt.org en nooit www..
• Voeg geen eigen aanhalingstekens toe. Voer de kale waarde in; GoDaddy regelt eventuele aanhalingstekens zelf.
• Geef het tijd. DNS-wijzigingen kunnen een paar minuten tot enkele uren duren voordat ze actief zijn. Bestaande certificaten blijven werken; CAA wordt alleen gecontroleerd wanneer een nieuw certificaat wordt uitgegeven of verlengd.

Controleer of het gelukt is

Zodra het record is opgeslagen en doorgevoerd, voert u de gratis controle op deze site uit. Die vertelt u in gewone taal of uw CAA-record aanwezig is en welke autoriteiten u heeft toegestaan.

Klaar? Controleer je domein gratis om te bevestigen dat het werkte — en bekijk je volledige beoordeling over alle 34 controles.