Defaults.Exposed › Configurare › CAA

Cum configurezi un record CAA pe Namecheap

Adaugă un record CAA în Namecheap pentru a controla ce autorități de certificare au voie să emită certificate SSL pentru domeniul tău.

De ce contează asta pentru afacerea ta

Un record CAA specifică ce autorități de certificare (companiile care emit certificatele SSL/TLS din spatele lacătului din browser) au voie să emită un certificat pentru domeniul tău. Orice autoritate care respectă regulile trebuie să verifice acest record mai întâi și să refuze cererea dacă nu este pe listă.

Pe scurt: fără un record CAA, oricare dintre sutele de autorități de certificare din lume ar putea fi păcălită sau ar putea face o greșeală și înmâna cuiva un certificat valid pentru domeniul tău — pe care un atacator l-ar putea folosi pentru a imita convingător site-ul tău. Un record CAA închide această ușă spunând numai aceste autorități, nimeni altcineva. Este gratuit și durează câteva minute.

Confirmă că Namecheap gestionează DNS-ul tău

Aceasta funcționează doar dacă Namecheap răspunde pentru domeniul tău. Recordurile de mai jos se adaugă în Advanced DNS, care este activ doar când domeniul tău folosește Namecheap BasicDNS (sau PremiumDNS). Autentifică-te, deschide Domain List, fă clic pe Manage pentru domeniu și confirmă că nameserver-ele sunt setate la Namecheap. Dacă nameserver-ele indică altundeva, adaugă recordul CAA la furnizorul care gestionează DNS-ul tău.

Identifică mai întâi autoritatea de certificare

Înainte de a adăuga orice, află ce autoritate emite certificatul tău, altfel riști să îți blochezi propriul furnizor. Valori frecvente:

• letsencrypt.org — Let’s Encrypt (folosit de majoritatea certificatelor gratuite și automate)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Dacă nu ești sigur, întreabă persoana care ți-a configurat hostingul sau verifică certificatul în browser (fă clic pe lacăt, apoi vizualizează emitentul certificatului).

Pași în Namecheap

1. Autentifică-te în Namecheap și deschide Domain List.
2. Fă clic pe Manage lângă domeniu.
3. Deschide tab-ul Advanced DNS.
4. Sub Host Records, fă clic pe Add New Record.
5. Setează Type la CAA Record.
6. În câmpul Host, introdu: @ Simbolul @ înseamnă rădăcina domeniului tău. Nu scrie numele domeniului aici.
7. În câmpul Flag, introdu: 0
8. În câmpul Tag, alege: issue
9. În câmpul Value (CA domain), introdu identificatorul autorității tale de certificare, de exemplu: letsencrypt.org
10. Lasă TTL pe Automatic.
11. Fă clic pe bifa verde pentru a salva, apoi Save All Changes dacă ți se solicită.

Permiterea mai multor autorități de certificare

Majoritatea domeniilor folosesc mai mult de o autoritate în timp — de exemplu, un certificat gratuit azi și unul plătit mai târziu, sau unul diferit pentru un serviciu separat. Pentru a permite mai multe, adaugă un record CAA separat pentru fiecare. Toate folosesc același host @, 0 la Flag și issue la Tag — doar valoarea se schimbă:

• un record cu valoarea letsencrypt.org
• un record cu valoarea digicert.com

Împreună, acestea spun ambele autorități sunt permise, nicio alta. Nu le combina într-un singur record.

Greșeli frecvente pe Namecheap

• Cea mai mare greșeală este blocarea propriei autorități. Dacă adaugi un record CAA listând doar digicert.com dar certificatul tău se reînnoiește prin Let’s Encrypt, reînnoirea va eșua silențios și lacătul tău se poate strica săptămâni mai târziu. Include întotdeauna fiecare autoritate pe care o folosești efectiv înainte de a salva.
• Host este @, nu domeniul tău. Dacă scrii numele complet al domeniului în câmpul Host, recordul se creează în locul greșit. Folosește @ pentru rădăcină.
• Flag este 0 pentru un record normal. Cealaltă valoare, 128, este un mod strict care face ca o autoritate non-conformă să refuze direct — folosește-o doar intenționat. Pentru uz obișnuit, 0.
• Folosește domeniul simplu, nu un URL. Valoarea este letsencrypt.org, niciodată https://letsencrypt.org și niciodată www..
• Alege tipul CAA, nu TXT. Namecheap are un tip dedicat CAA Record — folosește-l în loc să încerci să scrii manual un CAA într-un record TXT.
• Acordă timp. Modificările DNS pot dura câteva minute sau câteva ore pentru a intra în vigoare. Certificatele existente continuă să funcționeze; CAA este verificat doar când se emite sau reînnoiește unul nou.

Verifică dacă a funcționat

Odată salvat și propagat, rulează verificarea gratuită pe acest site. Îți va spune pe înțeles dacă recordul CAA este la locul lui și ce autorități ai permis.

Gata? Verifică domeniul tău gratuit pentru a confirma că a funcționat — și pentru a vedea nota ta completă la toate cele 34 de verificări.