Defaults.Exposed › Oppsett › CAA

Slik setter du opp en CAA-post på Cloudflare

Legg til en CAA-post i Cloudflare for å kontrollere hvilke sertifikatmyndigheter som har lov til å utstede SSL-sertifikater for domenet ditt.

Derfor er dette viktig for virksomheten din

En CAA-post navngir hvilke sertifikatmyndigheter (selskapene som utsteder SSL/TLS-sertifikatene bak hengelåsikonet i nettleseren) som har tillatelse til å utstede et sertifikat for domenet ditt. Enhver myndighet som følger reglene, må sjekke denne posten først og avvise forespørselen hvis den ikke er på listen.

Enkelt sagt: uten en CAA-post kan hvem som helst av hundrevis av sertifikatmyndigheter verden over bli lurt eller gjøre en feil og gi noen et gyldig sertifikat for domenet ditt — som en angriper kan bruke til å utgi seg for å være nettstedet ditt på en overbevisende måte. En CAA-post lukker den døren ved å si bare disse myndighetene, ingen andre. Det er gratis og tar noen minutter.

Bekreft at Cloudflare håndterer DNS-en din

Dette fungerer bare hvis Cloudflare svarer på DNS for domenet ditt. Cloudflare er DNS-verten din, og Cloudflares DNS er bare aktiv når domenet ditt sine nameservere peker på Cloudflare-nameserverne som vises i dashbordet ditt. Åpne domenet ditt i Cloudflare og sjekk Overview-siden for å bekrefte at Cloudflare er aktivt. Peker nameserverne andre steder, legg til CAA-posten hos den leverandøren som håndterer DNS-en din i stedet.

Finn ut hvilken sertifikatmyndighet du bruker først

Før du legger til noe, finn ut hvilken myndighet som utsteder sertifikatet ditt, ellers risikerer du å stenge ute din egen leverandør. Vanlige verdier:

• letsencrypt.org — Let’s Encrypt (brukes av de fleste gratis og automatiserte sertifikater)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

En merknad om Cloudflare: bruker du Cloudflares egen SSL (proxykonfigurasjonen med oransje sky), utsteder Cloudflare sertifikater gjennom flere myndigheter på vegne av deg — så pass på at CAA-posten du legger til fortsatt tillater disse, eller la Cloudflare håndtere CAA for deg. Er du usikker, spør den som satte opp hostingen din, eller sjekk sertifikatet i nettleseren (klikk på hengelåsen og vis sertifikatets utsteder).

Steg for steg på Cloudflare

1. Logg inn på Cloudflare og velg domenet ditt.
2. I menyen til venstre går du til DNS-innstillingene (se etter DNS / Records).
3. Klikk Add record.
4. Sett Type til CAA.
5. I Name-feltet skriver du: @ @ betyr roten av domenet ditt. Cloudflare legger til domenet for deg, så skriv ikke domenenavnet etter det.
6. Cloudflare viser CAA-feltene som brukervennlige menyer. Sett dem slik:
   • Flags: 0
   • Tag: velg Only allow specific hostnames (dette er issue-taggen)
   • CA domain name (verdien): letsencrypt.org
7. La TTL stå på Auto.
8. Klikk Save.

Tillate mer enn én sertifikatmyndighet

De fleste domener bruker mer enn én myndighet over tid — for eksempel et gratis sertifikat i dag og et betalt senere, eller et annet for en separat tjeneste. For å tillate flere legger du til en separat CAA-post for hver enkelt. De bruker alle det samme @-navnet, 0 flagg og issue-taggen — bare CA-domeneverdien endres:

• én post med verdien letsencrypt.org
• én post med verdien digicert.com

Til sammen sier de begge disse myndighetene er tillatt, ingen andre. Du kombinerer dem ikke i én enkelt post.

Vanlige feil på Cloudflare

• Den største feilen er å stenge ute din egen myndighet. Legger du til en CAA-post som bare lister digicert.com, men sertifikatet ditt faktisk fornyes gjennom Let’s Encrypt, vil neste fornyelse mislykkes i det stille og hengelåsen kan gå i stykker uker senere. Ta alltid med alle myndighetene du faktisk bruker før du lagrer.
• Pass på Cloudflares egen SSL. Kjører trafikken din gjennom Cloudflare (oransje sky), trenger Cloudflare å kunne hente edge-sertifikater. En CAA-post som ekskluderer myndighetene Cloudflare bruker kan ødelegge dette — i tvilstilfelle, tillat Let’s Encrypt og Google Trust Services (pki.goog) i tillegg til dine egne, eller la CAA styre av Cloudflare.
• Name er @, ikke domenet ditt. Bruk @ for roten; Cloudflare legger til domenet selv.
• Tag-ordlyden er forskjellig. Cloudflare kaller issue-taggen Only allow specific hostnames i menyen. Det er det riktige valget for vanlig bruk.
• Flags er 0 for en normal post. Den andre verdien, 128, er en streng modus — bruk den bare bevisst.
• Bruk det enkle domenet, ikke en URL. Verdien er letsencrypt.org, aldri https://letsencrypt.org og aldri www..
• Ingen proxy på en CAA-post. CAA er en ren DNS-post — det er ingen oransje/grå sky-veksling å bekymre seg for her.
• Gi det tid. DNS-endringer kan ta fra noen minutter til et par timer å tre i kraft. Eksisterende sertifikater fortsetter å fungere; CAA sjekkes bare når et nytt utstedes eller fornyes.

Bekreft at det fungerte

Når posten er lagret og propagert, kjør den gratis sjekken på dette nettstedet. Den forteller deg på klartekst om CAA-posten er på plass og hvilke myndigheter du har tillatt.

Ferdig? Sjekk domenet ditt gratis for å bekrefte at det virket — og se hele karakteren din på tvers av alle 34 sjekker.