Defaults.Exposed › Konfiguracja › CAA

Jak skonfigurować rekord CAA w GoDaddy

Dodaj rekord CAA w GoDaddy, aby kontrolować, które urzędy certyfikacji mogą wydawać certyfikaty SSL dla Twojej domeny.

Dlaczego to ważne dla Twojej firmy

Rekord CAA (Certification Authority Authorization, czyli autoryzacja urzędu certyfikacji) wskazuje, które urzędy certyfikacji — firmy wydające certyfikaty SSL/TLS odpowiadające za kłódkę w przeglądarce — mogą wydać certyfikat dla Twojej domeny. Każdy urząd przestrzegający zasad musi najpierw sprawdzić ten rekord i odrzucić żądanie, jeśli nie figuruje on na liście.

Mówiąc prościej: bez rekordu CAA którykolwiek z setek urzędów certyfikacji na świecie mógłby zostać wprowadzony w błąd lub popełnić pomyłkę i wydać komuś ważny certyfikat dla Twojej domeny — a atakujący mógłby go użyć do przekonującego podszycia się pod Twoją witrynę. Rekord CAA zamyka te drzwi, mówiąc: tylko te urzędy, nikt inny. Jest darmowy i zajmuje kilka minut.

Sprawdź, czy DNS obsługuje GoDaddy

Zadziała to tylko wtedy, gdy to GoDaddy odpowiada za DNS Twojej domeny. GoDaddy sprzedaje domeny i jednocześnie hostuje DNS, ale to dwie odrębne rzeczy — serwery nazw (nameservery) Twojej domeny muszą wskazywać na GoDaddy, aby dodawane tu rekordy działały. Zaloguj się, otwórz swoją domenę i sprawdź, czy nameservery należą do GoDaddy. Jeśli wskazują gdzie indziej, dodaj rekord CAA u tego dostawcy, który faktycznie obsługuje Twój DNS.

Najpierw poznaj swój urząd certyfikacji

Zanim cokolwiek dodasz, ustal, który urząd wydaje Twój certyfikat — inaczej ryzykujesz zablokowanie własnego dostawcy. Częste wartości:

• letsencrypt.org — Let’s Encrypt (używany przez większość darmowych i automatycznych certyfikatów)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Jeśli nie masz pewności, zapytaj osobę, która konfigurowała Twój hosting, albo sprawdź certyfikat w przeglądarce (kliknij kłódkę, a następnie wyświetl wystawcę certyfikatu).

Krok po kroku w GoDaddy

1. Zaloguj się do GoDaddy i otwórz Domain Portfolio (lub My Products).
2. Znajdź swoją domenę i otwórz stronę zarządzania DNS (szukaj DNS lub Manage DNS).
3. Pod listą rekordów kliknij Add (lub Add New Record).
4. Ustaw Type na CAA.
5. W polu Name (lub Host) wpisz: @ Znak @ oznacza korzeń Twojej domeny. Nie wpisuj tu nazwy swojej domeny.
6. Ustaw Flags na: 0
7. Ustaw Tag na: issue
8. W polu Value wpisz identyfikator swojego urzędu certyfikacji, na przykład: letsencrypt.org
9. Pozostaw TTL na wartości domyślnej (1 godzina jest w porządku).
10. Kliknij Save.

Zezwalanie więcej niż jednemu urzędowi certyfikacji

Większość domen z czasem korzysta z więcej niż jednego urzędu — na przykład darmowy certyfikat dziś, a płatny później, albo inny dla osobnej usługi. Aby zezwolić kilku, dodaj osobny rekord CAA dla każdego z nich. Wszystkie używają tej samej nazwy @, flagi 0 i tagu issue — zmienia się tylko wartość:

• jeden rekord z wartością letsencrypt.org
• jeden rekord z wartością digicert.com

Razem mówią one: oba te urzędy są dozwolone, żadne inne. Nie łączysz ich w jeden rekord.

Pułapki GoDaddy, w które ludzie wpadają

• Największym błędem jest zablokowanie własnego urzędu. Jeśli dodasz rekord CAA wymieniający tylko digicert.com, a Twój certyfikat odnawia się przez Let’s Encrypt, kolejne odnowienie po cichu się nie powiedzie, a kłódka może przestać działać po tygodniach. Przed zapisaniem zawsze uwzględnij każdy urząd, z którego faktycznie korzystasz.
• Name to @, nie Twoja domena. Wpisanie pełnej nazwy domeny w polu Name tworzy rekord w niewłaściwym miejscu. Użyj @ dla korzenia.
• Flags to 0 dla zwykłego rekordu. Druga wartość, 128, to tryb rygorystyczny, który sprawia, że niezgodny urząd całkowicie odmawia — używaj go tylko świadomie. Do zwykłego użytku stosuj 0.
• Użyj samej domeny, nie adresu URL. Wartość to letsencrypt.org, nigdy https://letsencrypt.org i nigdy www..
• Nie dodawaj własnych cudzysłowów. Wpisz zwykłą wartość; GoDaddy samo zadba o cudzysłowy.
• Daj temu czas. Zmiany w DNS mogą zacząć działać od kilku minut do paru godzin. Istniejące certyfikaty działają dalej; CAA jest sprawdzany tylko przy wydawaniu lub odnawianiu nowego.

Sprawdź, czy zadziałało

Po zapisaniu i propagacji uruchom darmowy test na tej stronie. Powie Ci prostym językiem, czy Twój rekord CAA jest na miejscu i które urzędy dopuściłeś.

Gotowe? Sprawdź swoją domenę za darmo aby potwierdzić, że zadziałało — i zobaczyć pełną ocenę we wszystkich 34 kontrolach.