Defaults.Exposed › Configuração › CAA

Como configurar um registo CAA na GoDaddy

Adicione um registo CAA na GoDaddy para controlar que autoridades de certificação podem emitir certificados SSL para o seu domínio.

Porque é que isto importa para o seu negócio

Um registo CAA indica quais as autoridades de certificação (as empresas que emitem os certificados SSL/TLS por trás do cadeado no navegador) que têm permissão para emitir um certificado para o seu domínio. Qualquer autoridade que cumpra as regras tem de consultar primeiro este registo e recusar o pedido caso não conste da lista.

Em termos simples: sem um registo CAA, qualquer uma das centenas de autoridades de certificação espalhadas pelo mundo poderia ser enganada ou cometer um erro e entregar a alguém um certificado válido para o seu domínio — algo que um atacante poderia usar para se fazer passar pelo seu site de forma muito convincente. Um registo CAA fecha essa porta ao dizer só estas autoridades, mais nenhuma. É gratuito e demora alguns minutos.

Confirme que é a GoDaddy que gere o seu DNS

Isto só funciona se for a GoDaddy a responder ao DNS do seu domínio. A GoDaddy vende domínios e também aloja DNS, mas as duas coisas são separadas — os servidores de nomes (nameservers) do seu domínio têm de apontar para a GoDaddy para que os registos que adicionar aqui fiquem ativos. Inicie sessão, abra o seu domínio e verifique se os servidores de nomes são os da própria GoDaddy. Se apontarem para outro lado, adicione o registo CAA no fornecedor que efetivamente gere o seu DNS.

Saiba primeiro qual é a sua autoridade de certificação

Antes de adicionar fosse o que for, descubra qual a autoridade que emite o seu certificado, ou arrisca-se a bloquear o seu próprio fornecedor. Valores comuns:

• letsencrypt.org — Let’s Encrypt (usada na maioria dos certificados gratuitos e automáticos)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Se tiver dúvidas, pergunte a quem configurou o seu alojamento, ou verifique o certificado no navegador (clique no cadeado e veja o emissor do certificado).

Passo a passo na GoDaddy

1. Inicie sessão na GoDaddy e abra o Domain Portfolio (ou My Products).
2. Localize o seu domínio e abra a respetiva página de gestão de DNS (procure DNS ou Manage DNS).
3. Por baixo da lista de registos, clique em Add (ou Add New Record).
4. Defina o Type como CAA.
5. No campo Name (ou Host), introduza: @ O @ significa a raiz do seu domínio. Não escreva aqui o nome do seu domínio.
6. Defina Flags como: 0
7. Defina Tag como: issue
8. No campo Value, introduza o identificador da sua autoridade de certificação, por exemplo: letsencrypt.org
9. Deixe o TTL no valor predefinido (1 hora é adequado).
10. Clique em Save.

Permitir mais do que uma autoridade de certificação

A maioria dos domínios usa mais do que uma autoridade ao longo do tempo — por exemplo, um certificado gratuito hoje e um pago mais tarde, ou um diferente para um serviço separado. Para permitir várias, adicione um registo CAA separado para cada uma. Todas usam o mesmo nome @, flags 0 e tag issue — só muda o valor:

• um registo com o valor letsencrypt.org
• um registo com o valor digicert.com

Em conjunto, dizem ambas estas autoridades estão autorizadas, mais nenhuma. Não as combine num único registo.

Erros que as pessoas cometem na GoDaddy

• O maior erro é bloquear a sua própria autoridade. Se adicionar um registo CAA que liste apenas digicert.com mas o seu certificado renovar, na verdade, através da Let’s Encrypt, a próxima renovação falhará em silêncio e o cadeado pode deixar de funcionar semanas depois. Inclua sempre todas as autoridades que realmente usa antes de guardar.
• O Name é @, não o seu domínio. Escrever o nome completo do domínio no campo Name cria o registo no sítio errado. Use @ para a raiz.
• Flags é 0 num registo normal. O outro valor, 128, é um modo estrito que faz com que uma autoridade não conforme recuse de imediato — use-o apenas de forma deliberada. Para uso comum, 0.
• Use o domínio simples, não um URL. O valor é letsencrypt.org, nunca https://letsencrypt.org e nunca www..
• Não acrescente aspas suas. Introduza o valor simples; a GoDaddy trata sozinha de quaisquer aspas.
• Dê-lhe tempo. As alterações de DNS podem demorar de alguns minutos até algumas horas a ficar ativas. Os certificados existentes continuam a funcionar; o CAA só é consultado quando um novo é emitido ou renovado.

Confirme que funcionou

Depois de guardar e propagar, execute a verificação gratuita neste site. Vai dizer-lhe em linguagem simples se o seu registo CAA está em vigor e que autoridades autorizou.

Já está? Analise o seu domínio gratuitamente para confirmar que funcionou — e ver a sua nota completa nas 34 verificações.