Defaults.Exposed › Konfiguracja › CAA

Jak skonfigurować rekord CAA w AWS Route 53

Dodaj rekord CAA w AWS Route 53, aby kontrolować, które urzędy certyfikacji mogą wydawać certyfikaty SSL dla Twojej domeny.

Dlaczego to ważne dla Twojej firmy

Rekord CAA (Certification Authority Authorization, czyli autoryzacja urzędu certyfikacji) wskazuje, które urzędy certyfikacji — firmy wydające certyfikaty SSL/TLS odpowiadające za kłódkę w przeglądarce — mogą wydać certyfikat dla Twojej domeny. Każdy urząd przestrzegający zasad musi najpierw sprawdzić ten rekord i odrzucić żądanie, jeśli nie figuruje on na liście.

Mówiąc prościej: bez rekordu CAA którykolwiek z setek urzędów certyfikacji na świecie mógłby zostać wprowadzony w błąd lub popełnić pomyłkę i wydać komuś ważny certyfikat dla Twojej domeny — a atakujący mógłby go użyć do przekonującego podszycia się pod Twoją witrynę. Rekord CAA zamyka te drzwi, mówiąc: tylko te urzędy, nikt inny. Jest darmowy i zajmuje kilka minut.

Sprawdź, czy DNS obsługuje Route 53

Zadziała to tylko wtedy, gdy to Route 53 odpowiada za DNS Twojej domeny. W Route 53 Twoje rekordy znajdują się w hosted zone (strefie hostowanej) dla domeny, a ta strefa działa tylko wtedy, gdy serwery nazw (nameservery) Twojej domeny wskazują na cztery nameservery Route 53 wymienione w strefie. Otwórz strefę hostowaną, sprawdź jej rekord NS i potwierdź, że te nameservery są ustawione u Twojego rejestratora. Jeśli Twoje nameservery wskazują gdzie indziej, dodaj rekord CAA u tego dostawcy, który faktycznie obsługuje Twój DNS.

Najpierw poznaj swój urząd certyfikacji

Zanim cokolwiek dodasz, ustal, który urząd wydaje Twój certyfikat — inaczej ryzykujesz zablokowanie własnego dostawcy. Częste wartości:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (używany przez większość darmowych i automatycznych certyfikatów)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Jeśli używasz AWS Certificate Manager do provisioningu certyfikatów, musisz dopuścić amazon.com, inaczej ACM nie będzie mógł wydać certyfikatu. Jeśli nie masz pewności, zapytaj osobę, która konfigurowała Twój hosting, albo sprawdź certyfikat w przeglądarce (kliknij kłódkę, a następnie wyświetl wystawcę certyfikatu).

Krok po kroku w Route 53

1. Zaloguj się do AWS Management Console i otwórz Route 53.
2. W menu po lewej wybierz Hosted zones, a następnie wskaż swoją domenę.
3. Kliknij Create record.
4. Pozostaw pole Record name puste, aby zastosować rekord do korzenia domeny (apex). Nie wpisuj tu nazwy swojej domeny.
5. Ustaw Record type na CAA.
6. W polu Value wpisz rekord w trzyczęściowym formacie Route 53 w jednej linii: 0 issue "letsencrypt.org" To kolejno flagi (0), następnie tag (issue), a potem urząd certyfikacji w cudzysłowie.
7. Pozostaw TTL na wartości domyślnej (300 sekund jest w porządku).
8. Wybierz Simple routing, jeśli pojawi się takie pytanie, a następnie kliknij Create records.

Zezwalanie więcej niż jednemu urzędowi certyfikacji

Większość domen z czasem korzysta z więcej niż jednego urzędu — na przykład AWS Certificate Manager dla jednej usługi i Let’s Encrypt dla innej. W Route 53 dodajesz dodatkowe urzędy jako kolejne linie w polu Value tego samego rekordu CAA, po jednej na linię:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Razem mówią one: oba te urzędy są dozwolone, żadne inne. Każda linia to osobny wpis issue; nie umieszczasz dwóch urzędów w jednej linii.

Pułapki Route 53, w które ludzie wpadają

• Największym błędem jest zablokowanie własnego urzędu. Jeśli dodasz rekord CAA wymieniający tylko digicert.com, a Twój certyfikat odnawia się przez Let’s Encrypt lub ACM, kolejne odnowienie po cichu się nie powiedzie, a kłódka może przestać działać po tygodniach. Przed zapisaniem zawsze uwzględnij każdy urząd, z którego faktycznie korzystasz.
• Dopuść amazon.com dla ACM. Jeśli Twoje certyfikaty pochodzą z AWS Certificate Manager, a rekord CAA nie zawiera amazon.com, walidacja i odnawianie w ACM się nie powiodą. To najczęstsza pułapka charakterystyczna dla Route 53.
• Cudzysłowy wokół CA są wymagane. Route 53 oczekuje 0 issue "letsencrypt.org" z urzędem w cudzysłowie. Pominięcie ich czyni rekord nieprawidłowym.
• Zostaw nazwę rekordu pustą dla korzenia. Pusta nazwa stosuje rekord na apexie; wpisanie tam nazwy domeny tworzy go w niewłaściwym miejscu.
• Flags to 0 dla zwykłego rekordu. Druga wartość, 128, to tryb rygorystyczny — używaj go tylko świadomie.
• Użyj samej domeny, nie adresu URL. Wartość to letsencrypt.org, nigdy https://letsencrypt.org i nigdy www..
• Daj temu czas. Zmiany w DNS mogą zacząć działać od kilku minut do paru godzin. Istniejące certyfikaty działają dalej; CAA jest sprawdzany tylko przy wydawaniu lub odnawianiu nowego.

Sprawdź, czy zadziałało

Po zapisaniu i propagacji uruchom darmowy test na tej stronie. Powie Ci prostym językiem, czy Twój rekord CAA jest na miejscu i które urzędy dopuściłeś.

Gotowe? Sprawdź swoją domenę za darmo aby potwierdzić, że zadziałało — i zobaczyć pełną ocenę we wszystkich 34 kontrolach.