Defaults.Exposed › Oppsett › CAA

Slik setter du opp en CAA-post på Namecheap

Legg til en CAA-post i Namecheap for å kontrollere hvilke sertifikatmyndigheter som har lov til å utstede SSL-sertifikater for domenet ditt.

Derfor er dette viktig for virksomheten din

En CAA-post navngir hvilke sertifikatmyndigheter (selskapene som utsteder SSL/TLS-sertifikatene bak hengelåsikonet i nettleseren) som har tillatelse til å utstede et sertifikat for domenet ditt. Enhver myndighet som følger reglene, må sjekke denne posten først og avvise forespørselen hvis den ikke er på listen.

Enkelt sagt: uten en CAA-post kan hvem som helst av hundrevis av sertifikatmyndigheter verden over bli lurt eller gjøre en feil og gi noen et gyldig sertifikat for domenet ditt — som en angriper kan bruke til å utgi seg for å være nettstedet ditt på en overbevisende måte. En CAA-post lukker den døren ved å si bare disse myndighetene, ingen andre. Det er gratis og tar noen minutter.

Bekreft at Namecheap håndterer DNS-en din

Dette fungerer bare hvis Namecheap svarer på DNS for domenet ditt. Postene nedenfor legges i Advanced DNS, som bare er aktiv når domenet bruker Namecheap BasicDNS (eller PremiumDNS). Logg inn, åpne Domain List, klikk Manage på domenet ditt og bekreft at nameserverne er satt til Namecheap. Peker nameserverne andre steder, legg til CAA-posten hos den leverandøren som håndterer DNS-en din i stedet.

Finn ut hvilken sertifikatmyndighet du bruker først

Før du legger til noe, finn ut hvilken myndighet som utsteder sertifikatet ditt, ellers risikerer du å stenge ute din egen leverandør. Vanlige verdier:

• letsencrypt.org — Let’s Encrypt (brukes av de fleste gratis og automatiserte sertifikater)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Er du usikker, spør den som satte opp hostingen din, eller sjekk sertifikatet i nettleseren (klikk på hengelåsen og vis sertifikatets utsteder).

Steg for steg på Namecheap

1. Logg inn på Namecheap og åpne Domain List.
2. Klikk Manage ved siden av domenet ditt.
3. Åpne Advanced DNS-fanen.
4. Under Host Records klikker du Add New Record.
5. Sett post-Type til CAA Record.
6. I Host-feltet skriver du: @ @ betyr roten av domenet ditt. Skriv ikke domenenavnet her.
7. I Flag-feltet skriver du: 0
8. I Tag-feltet velger du: issue
9. I Value (CA domain)-feltet skriver du sertifikatmyndighetens identifikator, for eksempel: letsencrypt.org
10. La TTL stå på Automatic.
11. Klikk den grønne haken for å lagre, og deretter Save All Changes hvis du blir bedt om det.

Tillate mer enn én sertifikatmyndighet

De fleste domener bruker mer enn én myndighet over tid — for eksempel et gratis sertifikat i dag og et betalt senere, eller et annet for en separat tjeneste. For å tillate flere legger du til en separat CAA-post for hver enkelt. De bruker alle det samme @-vertsnavnet, 0 flagg og issue-taggen — bare verdien endres:

• én post med verdien letsencrypt.org
• én post med verdien digicert.com

Til sammen sier de begge disse myndighetene er tillatt, ingen andre. Du kombinerer dem ikke i én enkelt post.

Vanlige feil på Namecheap

• Den største feilen er å stenge ute din egen myndighet. Legger du til en CAA-post som bare lister digicert.com, men sertifikatet ditt faktisk fornyes gjennom Let’s Encrypt, vil neste fornyelse mislykkes i det stille og hengelåsen kan gå i stykker uker senere. Ta alltid med alle myndighetene du faktisk bruker før du lagrer.
• Host er @, ikke domenet ditt. Å skrive hele domenenavnet i Host-feltet plasserer posten feil. Bruk @ for roten.
• Flag er 0 for en normal post. Den andre verdien, 128, er en streng modus som får en ikke-kompatibel myndighet til å avvise fullstendig — bruk den bare bevisst. For vanlig bruk: 0.
• Bruk det enkle domenet, ikke en URL. Verdien er letsencrypt.org, aldri https://letsencrypt.org og aldri www..
• Velg CAA-typen, ikke TXT. Namecheap har en dedikert CAA Record-type — bruk den i stedet for å prøve å skrive en CAA manuelt i en TXT-post.
• Gi det tid. DNS-endringer kan ta fra noen minutter til et par timer å tre i kraft. Eksisterende sertifikater fortsetter å fungere; CAA sjekkes bare når et nytt utstedes eller fornyes.

Bekreft at det fungerte

Når posten er lagret og propagert, kjør den gratis sjekken på dette nettstedet. Den forteller deg på klartekst om CAA-posten er på plass og hvilke myndigheter du har tillatt.

Ferdig? Sjekk domenet ditt gratis for å bekrefte at det virket — og se hele karakteren din på tvers av alle 34 sjekker.