Defaults.Exposed › Configurare › CAA

Cum configurezi un record CAA pe Cloudflare

Adaugă un record CAA în Cloudflare pentru a controla ce autorități de certificare au voie să emită certificate SSL pentru domeniul tău.

De ce contează asta pentru afacerea ta

Un record CAA specifică ce autorități de certificare (companiile care emit certificatele SSL/TLS din spatele lacătului din browser) au voie să emită un certificat pentru domeniul tău. Orice autoritate care respectă regulile trebuie să verifice acest record mai întâi și să refuze cererea dacă nu este pe listă.

Pe scurt: fără un record CAA, oricare dintre sutele de autorități de certificare din lume ar putea fi păcălită sau ar putea face o greșeală și înmâna cuiva un certificat valid pentru domeniul tău — pe care un atacator l-ar putea folosi pentru a imita convingător site-ul tău. Un record CAA închide această ușă spunând numai aceste autorități, nimeni altcineva. Este gratuit și durează câteva minute.

Confirmă că Cloudflare gestionează DNS-ul tău

Aceasta funcționează doar dacă Cloudflare răspunde pentru domeniul tău. Cloudflare este furnizorul tău DNS, și DNS-ul său este activ doar când nameservere-le domeniului tău indică spre nameserver-ele Cloudflare afișate în dashboard. Deschide domeniul în Cloudflare și verifică pagina Overview pentru a confirma că Cloudflare este activ. Dacă nameserver-ele indică altundeva, adaugă recordul CAA la furnizorul care gestionează DNS-ul tău.

Identifică mai întâi autoritatea de certificare

Înainte de a adăuga orice, află ce autoritate emite certificatul tău, altfel riști să îți blochezi propriul furnizor. Valori frecvente:

• letsencrypt.org — Let’s Encrypt (folosit de majoritatea certificatelor gratuite și automate)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

O notă despre Cloudflare: dacă folosești SSL-ul propriu Cloudflare (configurarea cu cloud portocaliu proxiat), Cloudflare emite certificate prin mai multe autorități în numele tău — asigură-te că orice record CAA adaugi le permite și pe acelea, sau lasă Cloudflare să gestioneze CAA pentru tine. Dacă nu ești sigur, întreabă persoana care ți-a configurat hostingul sau verifică certificatul în browser (fă clic pe lacăt, apoi vizualizează emitentul certificatului).

Pași în Cloudflare

1. Autentifică-te în Cloudflare și selectează domeniul tău.
2. În meniul din stânga, mergi la setările DNS (caută DNS / Records).
3. Fă clic pe Add record.
4. Setează Type la CAA.
5. În câmpul Name, introdu: @ Simbolul @ înseamnă rădăcina domeniului tău. Cloudflare adaugă singur domeniul, deci nu îl scrie după @.
6. Cloudflare afișează câmpurile CAA ca meniuri prietenoase. Setează-le astfel:
   • Flags: 0
   • Tag: alege Only allow specific hostnames (acesta este tag-ul issue)
   • CA domain name (valoarea): letsencrypt.org
7. Lasă TTL pe Auto.
8. Fă clic pe Save.

Permiterea mai multor autorități de certificare

Majoritatea domeniilor folosesc mai mult de o autoritate în timp — de exemplu, un certificat gratuit azi și unul plătit mai târziu, sau unul diferit pentru un serviciu separat. Pentru a permite mai multe, adaugă un record CAA separat pentru fiecare. Toate folosesc același @ la Name, 0 la Flags și tag-ul issue — doar valoarea domeniului CA se schimbă:

• un record cu valoarea letsencrypt.org
• un record cu valoarea digicert.com

Împreună, acestea spun ambele autorități sunt permise, nicio alta. Nu le combina într-un singur record.

Greșeli frecvente pe Cloudflare

• Cea mai mare greșeală este blocarea propriei autorități. Dacă adaugi un record CAA listând doar digicert.com dar certificatul tău se reînnoiește prin Let’s Encrypt, reînnoirea va eșua silențios și lacătul tău se poate strica săptămâni mai târziu. Include întotdeauna fiecare autoritate pe care o folosești efectiv înainte de a salva.
• Atenție la SSL-ul propriu Cloudflare. Dacă traficul trece prin Cloudflare (cloud portocaliu), Cloudflare trebuie să poată obține certificate edge. Un record CAA care exclude autoritățile folosite de Cloudflare poate strica asta — în caz de dubiu, permite Let’s Encrypt și Google Trust Services (pki.goog) alături de ale tale, sau lasă CAA-ul în seama Cloudflare.
• Name este @, nu domeniul tău. Folosește @ pentru rădăcină; Cloudflare adaugă singur domeniul.
• Denumirea tag-ului diferă. Cloudflare etichetează tag-ul issue ca Only allow specific hostnames în meniu. Aceasta este alegerea corectă pentru uz normal.
• Flags este 0 pentru un record normal. Cealaltă valoare, 128, este un mod strict — folosește-o doar intenționat.
• Folosește domeniul simplu, nu un URL. Valoarea este letsencrypt.org, niciodată https://letsencrypt.org și niciodată www..
• Fără proxy pe un record CAA. CAA este un record DNS pur — nu există comutare orange/gri de care să te îngrijorezi.
• Acordă timp. Modificările DNS pot dura câteva minute sau câteva ore pentru a intra în vigoare. Certificatele existente continuă să funcționeze; CAA este verificat doar când se emite sau reînnoiește unul nou.

Verifică dacă a funcționat

Odată salvat și propagat, rulează verificarea gratuită pe acest site. Îți va spune pe înțeles dacă recordul CAA este la locul lui și ce autorități ai permis.

Gata? Verifică domeniul tău gratuit pentru a confirma că a funcționat — și pentru a vedea nota ta completă la toate cele 34 de verificări.