Defaults.Exposed › Configurare › CAA

Cum configurezi un record CAA pe GoDaddy

Adaugă un record CAA în GoDaddy pentru a controla ce autorități de certificare au voie să emită certificate SSL pentru domeniul tău.

De ce contează asta pentru afacerea ta

Un record CAA specifică ce autorități de certificare (companiile care emit certificatele SSL/TLS din spatele lacătului din browser) au voie să emită un certificat pentru domeniul tău. Orice autoritate care respectă regulile trebuie să verifice acest record mai întâi și să refuze cererea dacă nu este pe listă.

Pe scurt: fără un record CAA, oricare dintre sutele de autorități de certificare din lume ar putea fi păcălită sau ar putea face o greșeală și înmâna cuiva un certificat valid pentru domeniul tău — pe care un atacator l-ar putea folosi pentru a imita convingător site-ul tău. Un record CAA închide această ușă spunând numai aceste autorități, nimeni altcineva. Este gratuit și durează câteva minute.

Confirmă că GoDaddy gestionează DNS-ul tău

Aceasta funcționează doar dacă GoDaddy răspunde pentru domeniul tău. GoDaddy vinde domenii și găzduiește și DNS, dar cele două sunt separate — nameservere-le domeniului tău trebuie să indice spre GoDaddy pentru ca recordurile adăugate aici să fie active. Autentifică-te, deschide domeniul și confirmă că nameserver-ele sunt ale GoDaddy. Dacă indică altundeva, adaugă recordul CAA la furnizorul care gestionează DNS-ul tău.

Identifică mai întâi autoritatea de certificare

Înainte de a adăuga orice, află ce autoritate emite certificatul tău, altfel riști să îți blochezi propriul furnizor. Valori frecvente:

• letsencrypt.org — Let’s Encrypt (folosit de majoritatea certificatelor gratuite și automate)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Dacă nu ești sigur, întreabă persoana care ți-a configurat hostingul sau verifică certificatul în browser (fă clic pe lacăt, apoi vizualizează emitentul certificatului).

Pași în GoDaddy

1. Autentifică-te în GoDaddy și deschide Domain Portfolio (sau My Products).
2. Găsește domeniul și deschide pagina de gestionare DNS (caută DNS sau Manage DNS).
3. Sub lista de recorduri, fă clic pe Add (sau Add New Record).
4. Setează Type la CAA.
5. În câmpul Name (sau Host), introdu: @ Simbolul @ înseamnă rădăcina domeniului tău. Nu scrie numele domeniului aici.
6. Setează Flags la: 0
7. Setează Tag la: issue
8. În câmpul Value, introdu identificatorul autorității tale de certificare, de exemplu: letsencrypt.org
9. Lasă TTL la valoarea implicită (1 oră este în regulă).
10. Fă clic pe Save.

Permiterea mai multor autorități de certificare

Majoritatea domeniilor folosesc mai mult de o autoritate în timp — de exemplu, un certificat gratuit azi și unul plătit mai târziu, sau unul diferit pentru un serviciu separat. Pentru a permite mai multe, adaugă un record CAA separat pentru fiecare. Toate folosesc același @ la Name, 0 la Flags și issue la Tag — doar valoarea se schimbă:

• un record cu valoarea letsencrypt.org
• un record cu valoarea digicert.com

Împreună, acestea spun ambele autorități sunt permise, nicio altă. Nu le combina într-un singur record.

Greșeli frecvente pe GoDaddy

• Cea mai mare greșeală este blocarea propriei autorități. Dacă adaugi un record CAA listând doar digicert.com dar certificatul tău se reînnoiește prin Let’s Encrypt, reînnoirea va eșua silențios și lacătul tău se poate strica săptămâni mai târziu. Include întotdeauna fiecare autoritate pe care o folosești efectiv înainte de a salva.
• Name este @, nu domeniul tău. Dacă scrii numele complet al domeniului în câmpul Name, recordul se creează în locul greșit. Folosește @ pentru rădăcină.
• Flags este 0 pentru un record normal. Cealaltă valoare, 128, este un mod strict care face ca o autoritate non-conformă să refuze direct — folosește-o doar intenționat. Pentru uz obișnuit, 0.
• Folosește domeniul simplu, nu un URL. Valoarea este letsencrypt.org, niciodată https://letsencrypt.org și niciodată www..
• Nu adăuga ghilimele proprii. Introdu valoarea simplu; GoDaddy gestionează singur ghilimelele.
• Acordă timp. Modificările DNS pot dura câteva minute sau câteva ore pentru a intra în vigoare. Certificatele existente continuă să funcționeze; CAA este verificat doar când se emite sau reînnoiește unul nou.

Verifică dacă a funcționat

Odată salvat și propagat, rulează verificarea gratuită pe acest site. Îți va spune pe înțeles dacă recordul CAA este la locul lui și ce autorități ai permis.

Gata? Verifică domeniul tău gratuit pentru a confirma că a funcționat — și pentru a vedea nota ta completă la toate cele 34 de verificări.