Defaults.Exposed › Konfiguracja › CAA

Jak skonfigurować rekord CAA w Cloudflare

Dodaj rekord CAA w Cloudflare, aby kontrolować, które urzędy certyfikacji mogą wydawać certyfikaty SSL dla Twojej domeny.

Dlaczego to ważne dla Twojej firmy

Rekord CAA (Certification Authority Authorization, czyli autoryzacja urzędu certyfikacji) wskazuje, które urzędy certyfikacji — firmy wydające certyfikaty SSL/TLS odpowiadające za kłódkę w przeglądarce — mogą wydać certyfikat dla Twojej domeny. Każdy urząd przestrzegający zasad musi najpierw sprawdzić ten rekord i odrzucić żądanie, jeśli nie figuruje on na liście.

Mówiąc prościej: bez rekordu CAA którykolwiek z setek urzędów certyfikacji na świecie mógłby zostać wprowadzony w błąd lub popełnić pomyłkę i wydać komuś ważny certyfikat dla Twojej domeny — a atakujący mógłby go użyć do przekonującego podszycia się pod Twoją witrynę. Rekord CAA zamyka te drzwi, mówiąc: tylko te urzędy, nikt inny. Jest darmowy i zajmuje kilka minut.

Sprawdź, czy DNS obsługuje Cloudflare

Zadziała to tylko wtedy, gdy to Cloudflare odpowiada za DNS Twojej domeny. Cloudflare jest Twoim hostem DNS, a jego DNS działa tylko wtedy, gdy serwery nazw (nameservery) Twojej domeny wskazują na nameservery Cloudflare widoczne w panelu. Otwórz swoją domenę w Cloudflare i sprawdź stronę Overview, aby potwierdzić, że Cloudflare jest aktywny. Jeśli Twoje nameservery wskazują gdzie indziej, dodaj rekord CAA u tego dostawcy, który faktycznie obsługuje Twój DNS.

Najpierw poznaj swój urząd certyfikacji

Zanim cokolwiek dodasz, ustal, który urząd wydaje Twój certyfikat — inaczej ryzykujesz zablokowanie własnego dostawcy. Częste wartości:

• letsencrypt.org — Let’s Encrypt (używany przez większość darmowych i automatycznych certyfikatów)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Uwaga dotycząca Cloudflare: jeśli korzystasz z własnego SSL Cloudflare (konfiguracja proxy z pomarańczową chmurką), Cloudflare wydaje certyfikaty w Twoim imieniu przez kilka urzędów — upewnij się więc, że dodawany rekord CAA nadal je dopuszcza, albo pozwól Cloudflare zarządzać CAA za Ciebie. Jeśli nie masz pewności, zapytaj osobę, która konfigurowała Twój hosting, albo sprawdź certyfikat w przeglądarce (kliknij kłódkę, a następnie wyświetl wystawcę certyfikatu).

Krok po kroku w Cloudflare

1. Zaloguj się do Cloudflare i wybierz swoją domenę.
2. W menu po lewej przejdź do ustawień DNS (szukaj DNS / Records).
3. Kliknij Add record.
4. Ustaw Type na CAA.
5. W polu Name wpisz: @ Znak @ oznacza korzeń Twojej domeny. Cloudflare sam dodaje domenę, więc nie wpisuj jej nazwy po znaku.
6. Cloudflare pokazuje pola CAA jako przyjazne menu. Ustaw je następująco:
   • Flags: 0
   • Tag: wybierz Only allow specific hostnames (to jest tag issue)
   • CA domain name (wartość): letsencrypt.org
7. Pozostaw TTL na Auto.
8. Kliknij Save.

Zezwalanie więcej niż jednemu urzędowi certyfikacji

Większość domen z czasem korzysta z więcej niż jednego urzędu — na przykład darmowy certyfikat dziś, a płatny później, albo inny dla osobnej usługi. Aby zezwolić kilku, dodaj osobny rekord CAA dla każdego z nich. Wszystkie używają tej samej nazwy @, flagi 0 i tagu issue — zmienia się tylko wartość domeny CA:

• jeden rekord z wartością letsencrypt.org
• jeden rekord z wartością digicert.com

Razem mówią one: oba te urzędy są dozwolone, żadne inne. Nie łączysz ich w jeden rekord.

Pułapki Cloudflare, w które ludzie wpadają

• Największym błędem jest zablokowanie własnego urzędu. Jeśli dodasz rekord CAA wymieniający tylko digicert.com, a Twój certyfikat odnawia się przez Let’s Encrypt, kolejne odnowienie po cichu się nie powiedzie, a kłódka może przestać działać po tygodniach. Przed zapisaniem zawsze uwzględnij każdy urząd, z którego faktycznie korzystasz.
• Uważaj na własne SSL Cloudflare. Jeśli Twój ruch przechodzi przez Cloudflare (pomarańczowa chmurka), Cloudflare musi móc pozyskać certyfikaty brzegowe. Dodanie rekordu CAA wykluczającego urzędy używane przez Cloudflare może to zepsuć — w razie wątpliwości dopuść obok własnego także Let’s Encrypt i Google Trust Services (pki.goog), albo zostaw CAA Cloudflare.
• Name to @, nie Twoja domena. Użyj @ dla korzenia; Cloudflare sam dodaje domenę.
• Inne nazewnictwo tagu. Cloudflare oznacza tag issue w swoim menu jako Only allow specific hostnames. To właściwy wybór do zwykłego użytku.
• Flags to 0 dla zwykłego rekordu. Druga wartość, 128, to tryb rygorystyczny — używaj go tylko świadomie.
• Użyj samej domeny, nie adresu URL. Wartość to letsencrypt.org, nigdy https://letsencrypt.org i nigdy www..
• Brak proxy na rekordzie CAA. CAA to czysty rekord DNS — nie ma tu żadnego przełącznika pomarańczowej/szarej chmurki, którym trzeba by się martwić.
• Daj temu czas. Zmiany w DNS mogą zacząć działać od kilku minut do paru godzin. Istniejące certyfikaty działają dalej; CAA jest sprawdzany tylko przy wydawaniu lub odnawianiu nowego.

Sprawdź, czy zadziałało

Po zapisaniu i propagacji uruchom darmowy test na tej stronie. Powie Ci prostym językiem, czy Twój rekord CAA jest na miejscu i które urzędy dopuściłeś.

Gotowe? Sprawdź swoją domenę za darmo aby potwierdzić, że zadziałało — i zobaczyć pełną ocenę we wszystkich 34 kontrolach.