Defaults.Exposed › Configurare › CAA

Cum configurezi un record CAA pe AWS Route 53

Adaugă un record CAA în AWS Route 53 pentru a controla ce autorități de certificare au voie să emită certificate SSL pentru domeniul tău.

De ce contează asta pentru afacerea ta

Un record CAA specifică ce autorități de certificare (companiile care emit certificatele SSL/TLS din spatele lacătului din browser) au voie să emită un certificat pentru domeniul tău. Orice autoritate care respectă regulile trebuie să verifice acest record mai întâi și să refuze cererea dacă nu este pe listă.

Pe scurt: fără un record CAA, oricare dintre sutele de autorități de certificare din lume ar putea fi păcălită sau ar putea face o greșeală și înmâna cuiva un certificat valid pentru domeniul tău — pe care un atacator l-ar putea folosi pentru a imita convingător site-ul tău. Un record CAA închide această ușă spunând numai aceste autorități, nimeni altcineva. Este gratuit și durează câteva minute.

Confirmă că Route 53 gestionează DNS-ul tău

Aceasta funcționează doar dacă Route 53 răspunde pentru domeniul tău. În Route 53, recordurile tale trăiesc într-o hosted zone pentru domeniu, iar acea zonă este activă doar când nameservere-le domeniului tău indică spre cele patru nameserver-e Route 53 listate în zonă. Deschide hosted zone-ul, verifică recordul NS și confirmă că acele nameserver-e sunt setate la registrar-ul tău. Dacă nameserver-ele indică altundeva, adaugă recordul CAA la furnizorul care gestionează DNS-ul tău.

Identifică mai întâi autoritatea de certificare

Înainte de a adăuga orice, află ce autoritate emite certificatul tău, altfel riști să îți blochezi propriul furnizor. Valori frecvente:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (folosit de majoritatea certificatelor gratuite și automate)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Dacă folosești AWS Certificate Manager pentru a emite certificate, trebuie să permiți amazon.com altfel ACM nu va putea emite. Dacă nu ești sigur, întreabă persoana care ți-a configurat hostingul sau verifică certificatul în browser (fă clic pe lacăt, apoi vizualizează emitentul certificatului).

Pași în Route 53

1. Autentifică-te în consola AWS Management și deschide Route 53.
2. În meniul din stânga, alege Hosted zones, apoi selectează domeniul.
3. Fă clic pe Create record.
4. Lasă câmpul Record name gol pentru a aplica recordul la rădăcina domeniului (apex). Nu scrie numele domeniului aici.
5. Setează Record type la CAA.
6. În caseta Value, introdu recordul în formatul Route 53 cu trei părți pe o singură linie: 0 issue "letsencrypt.org" Adică flags-ul (0), apoi tag-ul (issue), apoi autoritatea de certificare între ghilimele duble.
7. Lasă TTL la valoarea implicită (300 de secunde este în regulă).
8. Alege Simple routing dacă ți se solicită, apoi fă clic pe Create records.

Permiterea mai multor autorități de certificare

Majoritatea domeniilor folosesc mai mult de o autoritate în timp — de exemplu, AWS Certificate Manager pentru un serviciu și Let’s Encrypt pentru altul. În Route 53 adaugi autoritățile suplimentare ca linii adiționale în caseta Value a aceluiași record CAA, câte una pe linie:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Împreună, acestea spun ambele autorități sunt permise, nicio alta. Fiecare linie este o intrare issue separată; nu pune două autorități pe aceeași linie.

Greșeli frecvente pe Route 53

• Cea mai mare greșeală este blocarea propriei autorități. Dacă adaugi un record CAA listând doar digicert.com dar certificatul tău se reînnoiește prin Let’s Encrypt sau ACM, reînnoirea va eșua silențios și lacătul tău se poate strica săptămâni mai târziu. Include întotdeauna fiecare autoritate pe care o folosești efectiv înainte de a salva.
• Permite amazon.com pentru ACM. Dacă certificatele vin de la AWS Certificate Manager și recordul CAA nu include amazon.com, validarea și reînnoirea ACM vor eșua. Aceasta este cea mai frecventă problemă specifică Route 53.
• Ghilimelele din jurul CA sunt obligatorii. Route 53 se așteaptă la 0 issue "letsencrypt.org" cu autoritatea între ghilimele duble. Omiterea lor face recordul invalid.
• Lasă câmpul record name gol pentru rădăcină. Un câmp gol aplică recordul la apex; scrierea numelui domeniului acolo îl creează în locul greșit.
• Flags este 0 pentru un record normal. Cealaltă valoare, 128, este un mod strict — folosește-o doar intenționat.
• Folosește domeniul simplu, nu un URL. Valoarea este letsencrypt.org, niciodată https://letsencrypt.org și niciodată www..
• Acordă timp. Modificările DNS pot dura câteva minute sau câteva ore pentru a intra în vigoare. Certificatele existente continuă să funcționeze; CAA este verificat doar când se emite sau reînnoiește unul nou.

Verifică dacă a funcționat

Odată salvat și propagat, rulează verificarea gratuită pe acest site. Îți va spune pe înțeles dacă recordul CAA este la locul lui și ce autorități ai permis.

Gata? Verifică domeniul tău gratuit pentru a confirma că a funcționat — și pentru a vedea nota ta completă la toate cele 34 de verificări.