Defaults.Exposed › Configuração › CAA

Como configurar um registo CAA no AWS Route 53

Adicione um registo CAA no AWS Route 53 para controlar que autoridades de certificação podem emitir certificados SSL para o seu domínio.

Porque é que isto importa para o seu negócio

Um registo CAA indica quais as autoridades de certificação (as empresas que emitem os certificados SSL/TLS por trás do cadeado no navegador) que têm permissão para emitir um certificado para o seu domínio. Qualquer autoridade que cumpra as regras tem de consultar primeiro este registo e recusar o pedido caso não conste da lista.

Em termos simples: sem um registo CAA, qualquer uma das centenas de autoridades de certificação espalhadas pelo mundo poderia ser enganada ou cometer um erro e entregar a alguém um certificado válido para o seu domínio — algo que um atacante poderia usar para se fazer passar pelo seu site de forma muito convincente. Um registo CAA fecha essa porta ao dizer só estas autoridades, mais nenhuma. É gratuito e demora alguns minutos.

Confirme que é o Route 53 que gere o seu DNS

Isto só funciona se for o Route 53 a responder ao DNS do seu domínio. No Route 53, os seus registos vivem dentro de uma hosted zone (zona alojada) do domínio, e essa zona só fica ativa quando os servidores de nomes (nameservers) do seu domínio apontam para os quatro servidores de nomes do Route 53 listados na zona. Abra a hosted zone, verifique o respetivo registo NS e confirme que esses servidores de nomes estão definidos no seu registador. Se os seus servidores de nomes apontarem para outro lado, adicione o registo CAA no fornecedor que efetivamente gere o seu DNS.

Saiba primeiro qual é a sua autoridade de certificação

Antes de adicionar fosse o que for, descubra qual a autoridade que emite o seu certificado, ou arrisca-se a bloquear o seu próprio fornecedor. Valores comuns:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (usada na maioria dos certificados gratuitos e automáticos)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Se usa o AWS Certificate Manager para emitir certificados, tem de autorizar amazon.com, ou o ACM não conseguirá emitir. Se tiver dúvidas, pergunte a quem configurou o seu alojamento, ou verifique o certificado no navegador (clique no cadeado e veja o emissor do certificado).

Passo a passo no Route 53

1. Inicie sessão na AWS Management Console e abra o Route 53.
2. No menu da esquerda, escolha Hosted zones e selecione o seu domínio.
3. Clique em Create record.
4. Deixe o campo Record name vazio para aplicar o registo à raiz do seu domínio (o apex). Não escreva aqui o nome do seu domínio.
5. Defina o Record type como CAA.
6. Na caixa Value, introduza o registo no formato de três partes do Route 53, numa só linha: 0 issue "letsencrypt.org" Ou seja, as flags (0), depois a tag (issue) e depois a autoridade de certificação entre aspas.
7. Deixe o TTL no valor predefinido (300 segundos é adequado).
8. Escolha Simple routing se for pedido e clique em Create records.

Permitir mais do que uma autoridade de certificação

A maioria dos domínios usa mais do que uma autoridade ao longo do tempo — por exemplo, o AWS Certificate Manager para um serviço e a Let’s Encrypt para outro. No Route 53, adiciona as autoridades extra como linhas adicionais na caixa Value do mesmo registo CAA, uma por linha:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Em conjunto, dizem ambas estas autoridades estão autorizadas, mais nenhuma. Cada linha é uma entrada issue separada; não coloque duas autoridades na mesma linha.

Erros que as pessoas cometem no Route 53

• O maior erro é bloquear a sua própria autoridade. Se adicionar um registo CAA que liste apenas digicert.com mas o seu certificado renovar, na verdade, através da Let’s Encrypt ou do ACM, a próxima renovação falhará em silêncio e o cadeado pode deixar de funcionar semanas depois. Inclua sempre todas as autoridades que realmente usa antes de guardar.
• Autorize amazon.com para o ACM. Se os seus certificados vêm do AWS Certificate Manager e o seu registo CAA não inclui amazon.com, a validação e a renovação do ACM falharão. É o tropeço mais comum específico do Route 53.
• As aspas em torno da CA são obrigatórias. O Route 53 espera 0 issue "letsencrypt.org" com a autoridade entre aspas. Deixá-las de fora torna o registo inválido.
• Deixe o nome do registo em branco para a raiz. Um nome vazio aplica o registo no apex; escrever o nome do domínio aí cria-o no sítio errado.
• Flags é 0 num registo normal. O outro valor, 128, é um modo estrito — use-o apenas de forma deliberada.
• Use o domínio simples, não um URL. O valor é letsencrypt.org, nunca https://letsencrypt.org e nunca www..
• Dê-lhe tempo. As alterações de DNS podem demorar de alguns minutos até algumas horas a ficar ativas. Os certificados existentes continuam a funcionar; o CAA só é consultado quando um novo é emitido ou renovado.

Confirme que funcionou

Depois de guardar e propagar, execute a verificação gratuita neste site. Vai dizer-lhe em linguagem simples se o seu registo CAA está em vigor e que autoridades autorizou.

Já está? Analise o seu domínio gratuitamente para confirmar que funcionou — e ver a sua nota completa nas 34 verificações.