Defaults.Exposed › Настройка › CAA

Как настроить запись CAA в Namecheap

Добавьте запись CAA в Namecheap, чтобы управлять тем, какие центры сертификации вправе выпускать SSL-сертификаты для вашего домена.

Почему это важно для бизнеса

Запись CAA (Certification Authority Authorization — авторизация центра сертификации) указывает, какие именно центры сертификации (компании, выпускающие SSL/TLS-сертификаты, что стоят за «замочком» в браузере) вправе выпустить сертификат для вашего домена. Любой добросовестный центр обязан сначала проверить эту запись и отказать в выпуске, если его в списке нет.

Проще говоря: без записи CAA любой из сотен центров сертификации по всему миру может ошибиться или быть введён в заблуждение и выдать кому-то действующий сертификат на ваш домен — а злоумышленник использует его, чтобы убедительно выдать свой сайт за ваш. Запись CAA закрывает эту дверь, заявляя: только эти центры и никто больше. Это бесплатно и занимает пару минут.

Убедитесь, что DNS обслуживает Namecheap

Это сработает, только если на запросы DNS для вашего домена отвечает Namecheap. Записи ниже добавляются в Advanced DNS, который активен лишь тогда, когда домен использует Namecheap BasicDNS (или PremiumDNS). Войдите в аккаунт, откройте Domain List, нажмите Manage у нужного домена и проверьте, что серверы имён указывают на Namecheap. Если серверы имён указывают в другое место, добавляйте запись CAA у того провайдера, который реально обслуживает ваш DNS.

Сначала узнайте свой центр сертификации

Прежде чем что-либо добавлять, выясните, какой центр выпускает ваш сертификат, иначе рискуете заблокировать собственного поставщика. Частые значения:

• letsencrypt.org — Let’s Encrypt (большинство бесплатных и автоматических сертификатов)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Если не уверены, спросите того, кто настраивал ваш хостинг, или посмотрите сертификат в браузере (нажмите на замочек и откройте сведения об издателе сертификата).

Пошагово в Namecheap

1. Войдите в Namecheap и откройте Domain List.
2. Нажмите Manage рядом с вашим доменом.
3. Откройте вкладку Advanced DNS.
4. В разделе Host Records нажмите Add New Record.
5. В поле Type выберите CAA Record.
6. В поле Host введите: @ Символ @ означает корень домена. Не вписывайте сюда имя своего домена.
7. В поле Flag введите: 0
8. В поле Tag выберите: issue
9. В поле Value (домен CA) введите идентификатор вашего центра сертификации, например: letsencrypt.org
10. Оставьте TTL на значении Automatic.
11. Нажмите зелёную галочку для сохранения, затем Save All Changes, если будет предложено.

Как разрешить несколько центров сертификации

Со временем у большинства доменов появляется не один центр — например, сегодня бесплатный сертификат, позже платный, или отдельный центр для другого сервиса. Чтобы разрешить несколько, добавьте отдельную запись CAA на каждый. У всех одинаковые хост @, флаг 0 и тег issue — меняется только значение:

• одна запись со значением letsencrypt.org
• одна запись со значением digicert.com

Вместе они говорят: оба этих центра разрешены, другие — нет. Объединять их в одну запись нельзя.

Особенности Namecheap, где часто ошибаются

• Самая частая ошибка — заблокировать собственный центр. Если вы добавите запись CAA только с digicert.com, а сертификат на деле продлевается через Let’s Encrypt, следующее продление тихо провалится, и замочек может «сломаться» спустя недели. Всегда перечисляйте все центры, которыми вы реально пользуетесь, прежде чем сохранять.
• В поле Host — @, а не ваш домен. Имя домена в этом поле создаёт запись не там, где нужно. Для корня используйте @.
• Флаг (Flag) для обычной записи — 0. Другое значение, 128, — строгий режим, при котором несоответствующий центр обязан жёстко отказать; применяйте его осознанно. Для обычного использования — 0.
• Указывайте голый домен, а не URL. Значение — letsencrypt.org, никогда не https://letsencrypt.org и не www..
• Выбирайте тип CAA, а не TXT. В Namecheap есть отдельный тип CAA Record — используйте его, а не пытайтесь вручную вписать CAA в запись TXT.
• Дайте время. Изменения DNS вступают в силу от нескольких минут до пары часов. Существующие сертификаты продолжают работать; CAA проверяется только при выпуске или продлении нового.

Проверьте результат

После сохранения и распространения изменений запустите бесплатную проверку на этом сайте. Она простыми словами скажет, на месте ли запись CAA и какие центры вы разрешили.

Готово? Проверьте свой домен бесплатно чтобы убедиться, что всё сработало — и увидеть полную оценку по всем 34 проверкам.