Defaults.Exposed › Configuração › CAA

Como configurar um registo CAA na Cloudflare

Adicione um registo CAA na Cloudflare para controlar que autoridades de certificação podem emitir certificados SSL para o seu domínio.

Porque é que isto importa para o seu negócio

Um registo CAA indica quais as autoridades de certificação (as empresas que emitem os certificados SSL/TLS por trás do cadeado no navegador) que têm permissão para emitir um certificado para o seu domínio. Qualquer autoridade que cumpra as regras tem de consultar primeiro este registo e recusar o pedido caso não conste da lista.

Em termos simples: sem um registo CAA, qualquer uma das centenas de autoridades de certificação espalhadas pelo mundo poderia ser enganada ou cometer um erro e entregar a alguém um certificado válido para o seu domínio — algo que um atacante poderia usar para se fazer passar pelo seu site de forma muito convincente. Um registo CAA fecha essa porta ao dizer só estas autoridades, mais nenhuma. É gratuito e demora alguns minutos.

Confirme que é a Cloudflare que gere o seu DNS

Isto só funciona se for a Cloudflare a responder ao DNS do seu domínio. A Cloudflare é o seu fornecedor de DNS, e o seu DNS só fica ativo quando os servidores de nomes (nameservers) do seu domínio apontam para os servidores de nomes da Cloudflare indicados no seu painel. Abra o seu domínio na Cloudflare e verifique a página Overview para confirmar que a Cloudflare está ativa. Se os seus servidores de nomes apontarem para outro lado, adicione o registo CAA no fornecedor que efetivamente gere o seu DNS.

Saiba primeiro qual é a sua autoridade de certificação

Antes de adicionar fosse o que for, descubra qual a autoridade que emite o seu certificado, ou arrisca-se a bloquear o seu próprio fornecedor. Valores comuns:

• letsencrypt.org — Let’s Encrypt (usada na maioria dos certificados gratuitos e automáticos)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Uma nota sobre a Cloudflare: se usar o SSL da própria Cloudflare (a configuração com proxy, a nuvem laranja), a Cloudflare emite certificados em seu nome através de várias autoridades — por isso garanta que qualquer registo CAA que adicionar continua a permiti-las, ou deixe a gestão do CAA a cargo da Cloudflare. Se tiver dúvidas, pergunte a quem configurou o seu alojamento, ou verifique o certificado no navegador (clique no cadeado e veja o emissor do certificado).

Passo a passo na Cloudflare

1. Inicie sessão na Cloudflare e selecione o seu domínio.
2. No menu da esquerda, vá às definições de DNS (procure DNS / Records).
3. Clique em Add record.
4. Defina o Type como CAA.
5. No campo Name, introduza: @ O @ significa a raiz do seu domínio. A Cloudflare acrescenta o domínio por si, por isso não escreva o nome do seu domínio a seguir.
6. A Cloudflare mostra os campos CAA como menus simplificados. Defina-os assim:
   • Flags: 0
   • Tag: escolha Only allow specific hostnames (corresponde à tag issue)
   • CA domain name (o valor): letsencrypt.org
7. Deixe o TTL em Auto.
8. Clique em Save.

Permitir mais do que uma autoridade de certificação

A maioria dos domínios usa mais do que uma autoridade ao longo do tempo — por exemplo, um certificado gratuito hoje e um pago mais tarde, ou um diferente para um serviço separado. Para permitir várias, adicione um registo CAA separado para cada uma. Todas usam o mesmo nome @, flags 0 e tag issue — só muda o valor do domínio da CA:

• um registo com o valor letsencrypt.org
• um registo com o valor digicert.com

Em conjunto, dizem ambas estas autoridades estão autorizadas, mais nenhuma. Não as combine num único registo.

Erros que as pessoas cometem na Cloudflare

• O maior erro é bloquear a sua própria autoridade. Se adicionar um registo CAA que liste apenas digicert.com mas o seu certificado renovar, na verdade, através da Let’s Encrypt, a próxima renovação falhará em silêncio e o cadeado pode deixar de funcionar semanas depois. Inclua sempre todas as autoridades que realmente usa antes de guardar.
• Atenção ao SSL da própria Cloudflare. Se o seu tráfego passa pela Cloudflare (nuvem laranja), a Cloudflare precisa de conseguir obter certificados de borda. Adicionar um registo CAA que exclua as autoridades usadas pela Cloudflare pode quebrar isso — na dúvida, autorize a Let’s Encrypt e a Google Trust Services (pki.goog) a par da sua, ou deixe o CAA a cargo da Cloudflare.
• O Name é @, não o seu domínio. Use @ para a raiz; a Cloudflare acrescenta o domínio.
• A designação da tag é diferente. A Cloudflare rotula a tag issue como Only allow specific hostnames no seu menu. É essa a escolha certa para uso normal.
• Flags é 0 num registo normal. O outro valor, 128, é um modo estrito — use-o apenas de forma deliberada.
• Use o domínio simples, não um URL. O valor é letsencrypt.org, nunca https://letsencrypt.org e nunca www..
• Sem proxy num registo CAA. O CAA é um registo de DNS puro — não há aqui qualquer alternância de nuvem laranja/cinzenta para se preocupar.
• Dê-lhe tempo. As alterações de DNS podem demorar de alguns minutos até algumas horas a ficar ativas. Os certificados existentes continuam a funcionar; o CAA só é consultado quando um novo é emitido ou renovado.

Confirme que funcionou

Depois de guardar e propagar, execute a verificação gratuita neste site. Vai dizer-lhe em linguagem simples se o seu registo CAA está em vigor e que autoridades autorizou.

Já está? Analise o seu domínio gratuitamente para confirmar que funcionou — e ver a sua nota completa nas 34 verificações.