Defaults.Exposed › Konfiguracja › CAA

Jak skonfigurować rekord CAA w Namecheap

Dodaj rekord CAA w Namecheap, aby kontrolować, które urzędy certyfikacji mogą wydawać certyfikaty SSL dla Twojej domeny.

Dlaczego to ważne dla Twojej firmy

Rekord CAA (Certification Authority Authorization, czyli autoryzacja urzędu certyfikacji) wskazuje, które urzędy certyfikacji — firmy wydające certyfikaty SSL/TLS odpowiadające za kłódkę w przeglądarce — mogą wydać certyfikat dla Twojej domeny. Każdy urząd przestrzegający zasad musi najpierw sprawdzić ten rekord i odrzucić żądanie, jeśli nie figuruje on na liście.

Mówiąc prościej: bez rekordu CAA którykolwiek z setek urzędów certyfikacji na świecie mógłby zostać wprowadzony w błąd lub popełnić pomyłkę i wydać komuś ważny certyfikat dla Twojej domeny — a atakujący mógłby go użyć do przekonującego podszycia się pod Twoją witrynę. Rekord CAA zamyka te drzwi, mówiąc: tylko te urzędy, nikt inny. Jest darmowy i zajmuje kilka minut.

Sprawdź, czy DNS obsługuje Namecheap

Zadziała to tylko wtedy, gdy to Namecheap odpowiada za DNS Twojej domeny. Poniższe rekordy trafiają do Advanced DNS, które działa tylko wtedy, gdy domena korzysta z Namecheap BasicDNS (lub PremiumDNS). Zaloguj się, otwórz Domain List, kliknij Manage przy swojej domenie i sprawdź, czy nameservery są ustawione na Namecheap. Jeśli wskazują gdzie indziej, dodaj rekord CAA u tego dostawcy, który faktycznie obsługuje Twój DNS.

Najpierw poznaj swój urząd certyfikacji

Zanim cokolwiek dodasz, ustal, który urząd wydaje Twój certyfikat — inaczej ryzykujesz zablokowanie własnego dostawcy. Częste wartości:

• letsencrypt.org — Let’s Encrypt (używany przez większość darmowych i automatycznych certyfikatów)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Jeśli nie masz pewności, zapytaj osobę, która konfigurowała Twój hosting, albo sprawdź certyfikat w przeglądarce (kliknij kłódkę, a następnie wyświetl wystawcę certyfikatu).

Krok po kroku w Namecheap

1. Zaloguj się do Namecheap i otwórz Domain List.
2. Kliknij Manage przy swojej domenie.
3. Otwórz zakładkę Advanced DNS.
4. W sekcji Host Records kliknij Add New Record.
5. Ustaw Type rekordu na CAA Record.
6. W polu Host wpisz: @ Znak @ oznacza korzeń Twojej domeny. Nie wpisuj tu nazwy swojej domeny.
7. W polu Flag wpisz: 0
8. W polu Tag wybierz: issue
9. W polu Value (domena CA) wpisz identyfikator swojego urzędu certyfikacji, na przykład: letsencrypt.org
10. Pozostaw TTL na Automatic.
11. Kliknij zielony znaczek, aby zapisać, a następnie Save All Changes, jeśli pojawi się taki monit.

Zezwalanie więcej niż jednemu urzędowi certyfikacji

Większość domen z czasem korzysta z więcej niż jednego urzędu — na przykład darmowy certyfikat dziś, a płatny później, albo inny dla osobnej usługi. Aby zezwolić kilku, dodaj osobny rekord CAA dla każdego z nich. Wszystkie używają tego samego hosta @, flagi 0 i tagu issue — zmienia się tylko wartość:

• jeden rekord z wartością letsencrypt.org
• jeden rekord z wartością digicert.com

Razem mówią one: oba te urzędy są dozwolone, żadne inne. Nie łączysz ich w jeden rekord.

Pułapki Namecheap, w które ludzie wpadają

• Największym błędem jest zablokowanie własnego urzędu. Jeśli dodasz rekord CAA wymieniający tylko digicert.com, a Twój certyfikat odnawia się przez Let’s Encrypt, kolejne odnowienie po cichu się nie powiedzie, a kłódka może przestać działać po tygodniach. Przed zapisaniem zawsze uwzględnij każdy urząd, z którego faktycznie korzystasz.
• Host to @, nie Twoja domena. Wpisanie pełnej nazwy domeny w polu Host tworzy rekord w niewłaściwym miejscu. Użyj @ dla korzenia.
• Flag to 0 dla zwykłego rekordu. Druga wartość, 128, to tryb rygorystyczny, który sprawia, że niezgodny urząd całkowicie odmawia — używaj go tylko świadomie. Do zwykłego użytku stosuj 0.
• Użyj samej domeny, nie adresu URL. Wartość to letsencrypt.org, nigdy https://letsencrypt.org i nigdy www..
• Wybierz typ CAA, nie TXT. Namecheap ma dedykowany typ CAA Record — użyj go, zamiast próbować ręcznie wpisać CAA do rekordu TXT.
• Daj temu czas. Zmiany w DNS mogą zacząć działać od kilku minut do paru godzin. Istniejące certyfikaty działają dalej; CAA jest sprawdzany tylko przy wydawaniu lub odnawianiu nowego.

Sprawdź, czy zadziałało

Po zapisaniu i propagacji uruchom darmowy test na tej stronie. Powie Ci prostym językiem, czy Twój rekord CAA jest na miejscu i które urzędy dopuściłeś.

Gotowe? Sprawdź swoją domenę za darmo aby potwierdzić, że zadziałało — i zobaczyć pełną ocenę we wszystkich 34 kontrolach.