Defaults.Exposed › Oppsett › CAA

Slik setter du opp en CAA-post på GoDaddy

Legg til en CAA-post i GoDaddy for å kontrollere hvilke sertifikatmyndigheter som har lov til å utstede SSL-sertifikater for domenet ditt.

Derfor er dette viktig for virksomheten din

En CAA-post navngir hvilke sertifikatmyndigheter (selskapene som utsteder SSL/TLS-sertifikatene bak hengelåsikonet i nettleseren) som har tillatelse til å utstede et sertifikat for domenet ditt. Enhver myndighet som følger reglene, må sjekke denne posten først og avvise forespørselen hvis den ikke er på listen.

Enkelt sagt: uten en CAA-post kan hvem som helst av hundrevis av sertifikatmyndigheter verden over bli lurt eller gjøre en feil og gi noen et gyldig sertifikat for domenet ditt — som en angriper kan bruke til å utgi seg for å være nettstedet ditt på en overbevisende måte. En CAA-post lukker den døren ved å si bare disse myndighetene, ingen andre. Det er gratis og tar noen minutter.

Bekreft at GoDaddy håndterer DNS-en din

Dette fungerer bare hvis GoDaddy svarer på DNS for domenet ditt. GoDaddy selger domener og hoster også DNS, men de to er separate — domenet ditt sine nameservere må peke på GoDaddy for at poster du legger til her skal være aktive. Logg inn, åpne domenet ditt og bekreft at nameserverne er GoDaddys egne. Peker de andre steder, legg til CAA-posten hos den leverandøren som håndterer DNS-en din i stedet.

Finn ut hvilken sertifikatmyndighet du bruker først

Før du legger til noe, finn ut hvilken myndighet som utsteder sertifikatet ditt, ellers risikerer du å stenge ute din egen leverandør. Vanlige verdier:

• letsencrypt.org — Let’s Encrypt (brukes av de fleste gratis og automatiserte sertifikater)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Er du usikker, spør den som satte opp hostingen din, eller sjekk sertifikatet i nettleseren (klikk på hengelåsen og vis sertifikatets utsteder).

Steg for steg på GoDaddy

1. Logg inn på GoDaddy og åpne Domain Portfolio (eller My Products).
2. Finn domenet ditt og åpne DNS-administrasjonssiden (se etter DNS eller Manage DNS).
3. Under postlisten klikker du Add (eller Add New Record).
4. Sett Type til CAA.
5. I Name (eller Host)-feltet skriver du: @ @ betyr roten av domenet ditt. Skriv ikke domenenavnet her.
6. Sett Flags til: 0
7. Sett Tag til: issue
8. I Value-feltet skriver du sertifikatmyndighetens identifikator, for eksempel: letsencrypt.org
9. La TTL stå på standard (1 time er greit).
10. Klikk Save.

Tillate mer enn én sertifikatmyndighet

De fleste domener bruker mer enn én myndighet over tid — for eksempel et gratis sertifikat i dag og et betalt senere, eller et annet for en separat tjeneste. For å tillate flere legger du til en separat CAA-post for hver enkelt. De bruker alle det samme @-navnet, 0 flagg og issue-taggen — bare verdien endres:

• én post med verdien letsencrypt.org
• én post med verdien digicert.com

Til sammen sier de begge disse myndighetene er tillatt, ingen andre. Du kombinerer dem ikke i én enkelt post.

Vanlige feil på GoDaddy

• Den største feilen er å stenge ute din egen myndighet. Legger du til en CAA-post som bare lister digicert.com, men sertifikatet ditt faktisk fornyes gjennom Let’s Encrypt, vil neste fornyelse mislykkes i det stille og hengelåsen kan gå i stykker uker senere. Ta alltid med alle myndighetene du faktisk bruker før du lagrer.
• Name er @, ikke domenet ditt. Å skrive hele domenenavnet i Name-feltet plasserer posten feil. Bruk @ for roten.
• Flags er 0 for en normal post. Den andre verdien, 128, er en streng modus som får en ikke-kompatibel myndighet til å avvise fullstendig — bruk den bare bevisst. For vanlig bruk: 0.
• Bruk det enkle domenet, ikke en URL. Verdien er letsencrypt.org, aldri https://letsencrypt.org og aldri www..
• Ikke legg til egne anførselstegn. Skriv inn den rene verdien; GoDaddy håndterer eventuell angivelse av anführselstegn selv.
• Gi det tid. DNS-endringer kan ta fra noen minutter til et par timer å tre i kraft. Eksisterende sertifikater fortsetter å fungere; CAA sjekkes bare når et nytt utstedes eller fornyes.

Bekreft at det fungerte

Når posten er lagret og propagert, kjør den gratis sjekken på dette nettstedet. Den forteller deg på klartekst om CAA-posten er på plass og hvilke myndigheter du har tillatt.

Ferdig? Sjekk domenet ditt gratis for å bekrefte at det virket — og se hele karakteren din på tvers av alle 34 sjekker.