Defaults.Exposed › Instellen › CAA

Een CAA-record instellen bij Namecheap

Voeg een CAA-record toe bij Namecheap om te bepalen welke certificaatautoriteiten SSL-certificaten voor uw domein mogen uitgeven.

Waarom dit belangrijk is voor uw bedrijf

Een CAA-record (Certification Authority Authorization, een DNS-record dat toestemming regelt) benoemt welke certificaatautoriteiten — de bedrijven die de SSL/TLS-certificaten achter het hangslotje in de browser uitgeven — een certificaat voor uw domein mogen uitgeven. Iedere autoriteit die zich aan de regels houdt, moet dit record eerst controleren en de aanvraag weigeren als ze er niet op staat.

Eenvoudig gezegd: zonder een CAA-record zouden honderden certificaatautoriteiten wereldwijd misleid kunnen worden of een fout kunnen maken en iemand een geldig certificaat voor uw domein in handen geven — waarmee een aanvaller uw website overtuigend kan nabootsen. Een CAA-record sluit die deur door te zeggen: alleen deze autoriteiten, niemand anders. Het is gratis en kost een paar minuten.

Controleer of Namecheap uw DNS beheert

Dit werkt alleen als Namecheap de DNS voor uw domein beantwoordt. De onderstaande records komen in Advanced DNS, dat alleen actief is wanneer uw domein Namecheap BasicDNS (of PremiumDNS) gebruikt. Log in, open Domain List, klik op Manage bij uw domein en controleer of de naamservers op Namecheap zijn ingesteld. Wijzen uw naamservers ergens anders heen, voeg het CAA-record dan toe bij de provider die uw DNS beheert.

Ken eerst uw certificaatautoriteit

Voordat u iets toevoegt, zoek uit welke autoriteit uw certificaat uitgeeft, anders sluit u mogelijk uw eigen provider buiten. Veelvoorkomende waarden:

• letsencrypt.org — Let’s Encrypt (gebruikt door de meeste gratis en geautomatiseerde certificaten)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Weet u het niet zeker, vraag het dan aan degene die uw hosting heeft ingericht, of bekijk het certificaat in uw browser (klik op het hangslotje en bekijk de uitgever van het certificaat).

Stap voor stap bij Namecheap

1. Log in bij Namecheap en open Domain List.
2. Klik op Manage naast uw domein.
3. Open het tabblad Advanced DNS.
4. Klik onder Host Records op Add New Record.
5. Stel het record-Type in op CAA Record.
6. Voer in het veld Host in: @ De @ staat voor de root van uw domein. Typ hier niet uw domeinnaam.
7. Voer in het veld Flag in: 0
8. Kies in het veld Tag: issue
9. Voer in het veld Value (CA-domein) de identifier van uw certificaatautoriteit in, bijvoorbeeld: letsencrypt.org
10. Laat TTL op Automatic staan.
11. Klik op het groene vinkje om op te slaan en vervolgens op Save All Changes als daarom wordt gevraagd.

Meer dan één certificaatautoriteit toestaan

De meeste domeinen gebruiken in de loop van de tijd meer dan één autoriteit — bijvoorbeeld vandaag een gratis certificaat en later een betaald, of een andere voor een aparte dienst. Om er meerdere toe te staan, voegt u voor elke autoriteit een apart CAA-record toe. Ze gebruiken allemaal dezelfde @-host, 0-flag en issue-tag — alleen de waarde verschilt:

• één record met waarde letsencrypt.org
• één record met waarde digicert.com

Samen zeggen die: beide autoriteiten zijn toegestaan, geen andere. U combineert ze niet tot één record.

Namecheap-valkuilen waar mensen instappen

• De grootste fout is uw eigen autoriteit buitensluiten. Voegt u een CAA-record toe dat alleen digicert.com vermeldt terwijl uw certificaat in werkelijkheid via Let’s Encrypt verlengt, dan mislukt de volgende verlenging stilletjes en kan uw hangslotje weken later kapotgaan. Neem altijd elke autoriteit op die u echt gebruikt voordat u opslaat.
• Host is @, niet uw domein. Uw volledige domeinnaam in het veld Host typen maakt het record op de verkeerde plek aan. Gebruik @ voor de root.
• Flag is 0 voor een gewoon record. De andere waarde, 128, is een strikte modus die een niet-conforme autoriteit pertinent doet weigeren — gebruik die alleen bewust. Voor normaal gebruik: 0.
• Gebruik het kale domein, geen URL. De waarde is letsencrypt.org, nooit https://letsencrypt.org en nooit www..
• Kies het CAA-type, niet TXT. Namecheap heeft een speciaal CAA Record-type — gebruik dat in plaats van een CAA handmatig in een TXT-record te schrijven.
• Geef het tijd. DNS-wijzigingen kunnen een paar minuten tot enkele uren duren voordat ze actief zijn. Bestaande certificaten blijven werken; CAA wordt alleen gecontroleerd wanneer een nieuw certificaat wordt uitgegeven of verlengd.

Controleer of het gelukt is

Zodra het record is opgeslagen en doorgevoerd, voert u de gratis controle op deze site uit. Die vertelt u in gewone taal of uw CAA-record aanwezig is en welke autoriteiten u heeft toegestaan.

Klaar? Controleer je domein gratis om te bevestigen dat het werkte — en bekijk je volledige beoordeling over alle 34 controles.