Defaults.Exposed › Настройка › CAA

Как настроить запись CAA в Cloudflare

Добавьте запись CAA в Cloudflare, чтобы управлять тем, какие центры сертификации вправе выпускать SSL-сертификаты для вашего домена.

Почему это важно для бизнеса

Запись CAA (Certification Authority Authorization — авторизация центра сертификации) указывает, какие именно центры сертификации (компании, выпускающие SSL/TLS-сертификаты, что стоят за «замочком» в браузере) вправе выпустить сертификат для вашего домена. Любой добросовестный центр обязан сначала проверить эту запись и отказать в выпуске, если его в списке нет.

Проще говоря: без записи CAA любой из сотен центров сертификации по всему миру может ошибиться или быть введён в заблуждение и выдать кому-то действующий сертификат на ваш домен — а злоумышленник использует его, чтобы убедительно выдать свой сайт за ваш. Запись CAA закрывает эту дверь, заявляя: только эти центры и никто больше. Это бесплатно и занимает пару минут.

Убедитесь, что DNS обслуживает Cloudflare

Это сработает, только если на запросы DNS для вашего домена отвечает Cloudflare. Cloudflare выступает вашим хостом DNS, и его DNS активен лишь тогда, когда серверы имён (nameservers) домена указывают на серверы имён Cloudflare, показанные в панели управления. Откройте домен в Cloudflare и проверьте страницу Overview, чтобы убедиться, что Cloudflare активен. Если серверы имён указывают в другое место, добавляйте запись CAA у того провайдера, который реально обслуживает ваш DNS.

Сначала узнайте свой центр сертификации

Прежде чем что-либо добавлять, выясните, какой центр выпускает ваш сертификат, иначе рискуете заблокировать собственного поставщика. Частые значения:

• letsencrypt.org — Let’s Encrypt (большинство бесплатных и автоматических сертификатов)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Замечание по Cloudflare: если вы используете собственный SSL от Cloudflare (проксирование с «оранжевым облаком»), Cloudflare выпускает сертификаты за вас через несколько центров — поэтому убедитесь, что добавляемая запись CAA по-прежнему их разрешает, либо доверьте управление CAA самому Cloudflare. Если не уверены, спросите того, кто настраивал ваш хостинг, или посмотрите сертификат в браузере (нажмите на замочек и откройте сведения об издателе сертификата).

Пошагово в Cloudflare

1. Войдите в Cloudflare и выберите свой домен.
2. В левом меню откройте настройки DNS (раздел DNS / Records).
3. Нажмите Add record.
4. В поле Type выберите CAA.
5. В поле Name введите: @ Символ @ означает корень домена. Cloudflare сам подставит имя домена, поэтому не дописывайте его после.
6. Cloudflare показывает поля CAA удобными выпадающими меню. Заполните их так:
   • Flags: 0
   • Tag: выберите Only allow specific hostnames (это тег issue)
   • CA domain name (значение): letsencrypt.org
7. Оставьте TTL на значении Auto.
8. Нажмите Save.

Как разрешить несколько центров сертификации

Со временем у большинства доменов появляется не один центр — например, сегодня бесплатный сертификат, позже платный, или отдельный центр для другого сервиса. Чтобы разрешить несколько, добавьте отдельную запись CAA на каждый. У всех одинаковые имя @, флаг 0 и тег issue — меняется только значение домена CA:

• одна запись со значением letsencrypt.org
• одна запись со значением digicert.com

Вместе они говорят: оба этих центра разрешены, другие — нет. Объединять их в одну запись нельзя.

Особенности Cloudflare, где часто ошибаются

• Самая частая ошибка — заблокировать собственный центр. Если вы добавите запись CAA только с digicert.com, а сертификат на деле продлевается через Let’s Encrypt, следующее продление тихо провалится, и замочек может «сломаться» спустя недели. Всегда перечисляйте все центры, которыми вы реально пользуетесь, прежде чем сохранять.
• Учитывайте собственный SSL от Cloudflare. Если трафик идёт через Cloudflare («оранжевое облако»), Cloudflare должен иметь возможность получать пограничные сертификаты. Запись CAA, исключающая используемые им центры, это сломает — в случае сомнений разрешите Let’s Encrypt и Google Trust Services (pki.goog) наряду со своими центрами либо оставьте CAA на Cloudflare.
• В поле Name — @, а не ваш домен. Для корня используйте @; имя домена Cloudflare добавит сам.
• Формулировка тега отличается. В меню Cloudflare тег issue обозначен как Only allow specific hostnames. Это верный выбор для обычного использования.
• Флаг (Flags) для обычной записи — 0. Другое значение, 128, — строгий режим; применяйте его осознанно.
• Указывайте голый домен, а не URL. Значение — letsencrypt.org, никогда не https://letsencrypt.org и не www..
• Для записи CAA нет проксирования. CAA — чистая запись DNS, здесь нет переключателя оранжевого/серого облака, о котором стоило бы беспокоиться.
• Дайте время. Изменения DNS вступают в силу от нескольких минут до пары часов. Существующие сертификаты продолжают работать; CAA проверяется только при выпуске или продлении нового.

Проверьте результат

После сохранения и распространения изменений запустите бесплатную проверку на этом сайте. Она простыми словами скажет, на месте ли запись CAA и какие центры вы разрешили.

Готово? Проверьте свой домен бесплатно чтобы убедиться, что всё сработало — и увидеть полную оценку по всем 34 проверкам.