Defaults.Exposed › Oppsett › CAA

Slik setter du opp en CAA-post på AWS Route 53

Legg til en CAA-post i AWS Route 53 for å kontrollere hvilke sertifikatmyndigheter som har lov til å utstede SSL-sertifikater for domenet ditt.

Derfor er dette viktig for virksomheten din

En CAA-post navngir hvilke sertifikatmyndigheter (selskapene som utsteder SSL/TLS-sertifikatene bak hengelåsikonet i nettleseren) som har tillatelse til å utstede et sertifikat for domenet ditt. Enhver myndighet som følger reglene, må sjekke denne posten først og avvise forespørselen hvis den ikke er på listen.

Enkelt sagt: uten en CAA-post kan hvem som helst av hundrevis av sertifikatmyndigheter verden over bli lurt eller gjøre en feil og gi noen et gyldig sertifikat for domenet ditt — som en angriper kan bruke til å utgi seg for å være nettstedet ditt på en overbevisende måte. En CAA-post lukker den døren ved å si bare disse myndighetene, ingen andre. Det er gratis og tar noen minutter.

Bekreft at Route 53 håndterer DNS-en din

Dette fungerer bare hvis Route 53 svarer på DNS for domenet ditt. I Route 53 befinner postene dine seg inne i en hosted zone for domenet, og den sonen er bare aktiv når domenet ditt sine nameservere peker på de fire Route 53-nameserverne som er oppført i sonen. Åpne hosted zone-en, sjekk NS-posten og bekreft at disse nameserverne er satt hos registraren din. Peker nameserverne andre steder, legg til CAA-posten hos den leverandøren som håndterer DNS-en din i stedet.

Finn ut hvilken sertifikatmyndighet du bruker først

Før du legger til noe, finn ut hvilken myndighet som utsteder sertifikatet ditt, ellers risikerer du å stenge ute din egen leverandør. Vanlige verdier:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (brukes av de fleste gratis og automatiserte sertifikater)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Bruker du AWS Certificate Manager til å klargjøre sertifikater, må du tillate amazon.com, ellers vil ikke ACM kunne utstede. Er du usikker, spør den som satte opp hostingen din, eller sjekk sertifikatet i nettleseren (klikk på hengelåsen og vis sertifikatets utsteder).

Steg for steg på Route 53

1. Logg inn på AWS Management Console og åpne Route 53.
2. I venstremenyen velger du Hosted zones og deretter domenet ditt.
3. Klikk Create record.
4. La Record name-feltet stå tomt for å bruke posten på roten av domenet (apex). Skriv ikke domenenavnet her.
5. Sett Record type til CAA.
6. I Value-boksen skriver du posten i Route 53s treledds format på én linje: 0 issue "letsencrypt.org" Det er flaggene (0), deretter taggen (issue), deretter sertifikatmyndigheten i doble anførselsegn.
7. La TTL stå på standard (300 sekunder er greit).
8. Velg Simple routing hvis du blir spurt, og klikk deretter Create records.

Tillate mer enn én sertifikatmyndighet

De fleste domener bruker mer enn én myndighet over tid — for eksempel AWS Certificate Manager for én tjeneste og Let’s Encrypt for en annen. I Route 53 legger du til de ekstra myndighetene som tilleggslinjer i den samme CAA-postens Value-boks, én per linje:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Til sammen sier de begge disse myndighetene er tillatt, ingen andre. Hver linje er en separat issue-oppføring; du plasserer ikke to myndigheter på én linje.

Vanlige feil på Route 53

• Den største feilen er å stenge ute din egen myndighet. Legger du til en CAA-post som bare lister digicert.com, men sertifikatet ditt faktisk fornyes gjennom Let’s Encrypt eller ACM, vil neste fornyelse mislykkes i det stille og hengelåsen kan gå i stykker uker senere. Ta alltid med alle myndighetene du faktisk bruker før du lagrer.
• Tillat amazon.com for ACM. Kommer sertifikatene dine fra AWS Certificate Manager og CAA-posten ikke inkluderer amazon.com, vil ACM-validering og -fornyelse mislykkes. Dette er den vanligste Route 53-spesifikke feilen.
• Anførselsintegnene rundt CA er påkrevd. Route 53 forventer 0 issue "letsencrypt.org" med myndigheten i doble anførselsegn. Utelater du dem, blir posten ugyldig.
• La postnavnet stå tomt for roten. Et tomt navn bruker posten på apex; å skrive domenenavnet der plasserer den feil.
• Flags er 0 for en normal post. Den andre verdien, 128, er en streng modus — bruk den bare bevisst.
• Bruk det enkle domenet, ikke en URL. Verdien er letsencrypt.org, aldri https://letsencrypt.org og aldri www..
• Gi det tid. DNS-endringer kan ta fra noen minutter til et par timer å tre i kraft. Eksisterende sertifikater fortsetter å fungere; CAA sjekkes bare når et nytt utstedes eller fornyes.

Bekreft at det fungerte

Når posten er lagret og propagert, kjør den gratis sjekken på dette nettstedet. Den forteller deg på klartekst om CAA-posten er på plass og hvilke myndigheter du har tillatt.

Ferdig? Sjekk domenet ditt gratis for å bekrefte at det virket — og se hele karakteren din på tvers av alle 34 sjekker.