Defaults.Exposed › Instellen › CAA

Een CAA-record instellen bij AWS Route 53

Voeg een CAA-record toe bij AWS Route 53 om te bepalen welke certificaatautoriteiten SSL-certificaten voor uw domein mogen uitgeven.

Waarom dit belangrijk is voor uw bedrijf

Een CAA-record (Certification Authority Authorization, een DNS-record dat toestemming regelt) benoemt welke certificaatautoriteiten — de bedrijven die de SSL/TLS-certificaten achter het hangslotje in de browser uitgeven — een certificaat voor uw domein mogen uitgeven. Iedere autoriteit die zich aan de regels houdt, moet dit record eerst controleren en de aanvraag weigeren als ze er niet op staat.

Eenvoudig gezegd: zonder een CAA-record zouden honderden certificaatautoriteiten wereldwijd misleid kunnen worden of een fout kunnen maken en iemand een geldig certificaat voor uw domein in handen geven — waarmee een aanvaller uw website overtuigend kan nabootsen. Een CAA-record sluit die deur door te zeggen: alleen deze autoriteiten, niemand anders. Het is gratis en kost een paar minuten.

Controleer of Route 53 uw DNS beheert

Dit werkt alleen als Route 53 de DNS voor uw domein beantwoordt. In Route 53 staan uw records in een hosted zone voor het domein, en die zone is alleen actief wanneer de naamservers van uw domein naar de vier Route 53-naamservers in de zone wijzen. Open de hosted zone, controleer het NS-record en bevestig dat die naamservers bij uw registrar zijn ingesteld. Wijzen uw naamservers ergens anders heen, voeg het CAA-record dan toe bij de provider die uw DNS beheert.

Ken eerst uw certificaatautoriteit

Voordat u iets toevoegt, zoek uit welke autoriteit uw certificaat uitgeeft, anders sluit u mogelijk uw eigen provider buiten. Veelvoorkomende waarden:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (gebruikt door de meeste gratis en geautomatiseerde certificaten)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Gebruikt u AWS Certificate Manager om certificaten te leveren, dan moet u amazon.com toestaan, anders kan ACM niet uitgeven. Weet u het niet zeker, vraag het dan aan degene die uw hosting heeft ingericht, of bekijk het certificaat in uw browser (klik op het hangslotje en bekijk de uitgever van het certificaat).

Stap voor stap bij Route 53

1. Log in bij de AWS Management Console en open Route 53.
2. Kies in het linkermenu Hosted zones en selecteer vervolgens uw domein.
3. Klik op Create record.
4. Laat het veld Record name leeg om het record op de root van uw domein (de apex) toe te passen. Typ hier niet uw domeinnaam.
5. Stel Record type in op CAA.
6. Voer in het vak Value het record in op één regel in de drieledige Route 53-indeling: 0 issue "letsencrypt.org" Dat is de flags (0), dan de tag (issue), dan de certificaatautoriteit tussen dubbele aanhalingstekens.
7. Laat TTL op de standaardwaarde staan (300 seconden is prima).
8. Kies Simple routing als daarom wordt gevraagd en klik dan op Create records.

Meer dan één certificaatautoriteit toestaan

De meeste domeinen gebruiken in de loop van de tijd meer dan één autoriteit — bijvoorbeeld AWS Certificate Manager voor de ene dienst en Let’s Encrypt voor de andere. In Route 53 voegt u de extra autoriteiten toe als extra regels in het Value-vak van hetzelfde CAA-record, één per regel:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Samen zeggen die: beide autoriteiten zijn toegestaan, geen andere. Elke regel is een aparte issue-vermelding; u zet geen twee autoriteiten op één regel.

Route 53-valkuilen waar mensen instappen

• De grootste fout is uw eigen autoriteit buitensluiten. Voegt u een CAA-record toe dat alleen digicert.com vermeldt terwijl uw certificaat in werkelijkheid via Let’s Encrypt of ACM verlengt, dan mislukt de volgende verlenging stilletjes en kan uw hangslotje weken later kapotgaan. Neem altijd elke autoriteit op die u echt gebruikt voordat u opslaat.
• Sta amazon.com toe voor ACM. Komen uw certificaten van AWS Certificate Manager en bevat uw CAA-record geen amazon.com, dan mislukken de validatie en verlenging van ACM. Dit is de meest voorkomende Route 53-specifieke struikelblok.
• De aanhalingstekens rond de CA zijn verplicht. Route 53 verwacht 0 issue "letsencrypt.org" met de autoriteit tussen dubbele aanhalingstekens. Ze weglaten maakt het record ongeldig.
• Laat de recordnaam leeg voor de root. Een lege naam past het record op de apex toe; de domeinnaam daar typen maakt het op de verkeerde plek aan.
• Flags is 0 voor een gewoon record. De andere waarde, 128, is een strikte modus — gebruik die alleen bewust.
• Gebruik het kale domein, geen URL. De waarde is letsencrypt.org, nooit https://letsencrypt.org en nooit www..
• Geef het tijd. DNS-wijzigingen kunnen een paar minuten tot enkele uren duren voordat ze actief zijn. Bestaande certificaten blijven werken; CAA wordt alleen gecontroleerd wanneer een nieuw certificaat wordt uitgegeven of verlengd.

Controleer of het gelukt is

Zodra het record is opgeslagen en doorgevoerd, voert u de gratis controle op deze site uit. Die vertelt u in gewone taal of uw CAA-record aanwezig is en welke autoriteiten u heeft toegestaan.

Klaar? Controleer je domein gratis om te bevestigen dat het werkte — en bekijk je volledige beoordeling over alle 34 controles.