Defaults.Exposed › Настройка › CAA

Как настроить запись CAA в AWS Route 53

Добавьте запись CAA в AWS Route 53, чтобы управлять тем, какие центры сертификации вправе выпускать SSL-сертификаты для вашего домена.

Почему это важно для бизнеса

Запись CAA (Certification Authority Authorization — авторизация центра сертификации) указывает, какие именно центры сертификации (компании, выпускающие SSL/TLS-сертификаты, что стоят за «замочком» в браузере) вправе выпустить сертификат для вашего домена. Любой добросовестный центр обязан сначала проверить эту запись и отказать в выпуске, если его в списке нет.

Проще говоря: без записи CAA любой из сотен центров сертификации по всему миру может ошибиться или быть введён в заблуждение и выдать кому-то действующий сертификат на ваш домен — а злоумышленник использует его, чтобы убедительно выдать свой сайт за ваш. Запись CAA закрывает эту дверь, заявляя: только эти центры и никто больше. Это бесплатно и занимает пару минут.

Убедитесь, что DNS обслуживает Route 53

Это сработает, только если на запросы DNS для вашего домена отвечает Route 53. В Route 53 ваши записи находятся внутри hosted zone (размещённой зоны) для домена, и эта зона активна лишь тогда, когда серверы имён (nameservers) домена указывают на четыре сервера имён Route 53, перечисленных в зоне. Откройте размещённую зону, проверьте её запись NS и убедитесь, что эти серверы имён прописаны у вашего регистратора. Если серверы имён указывают в другое место, добавляйте запись CAA у того провайдера, который реально обслуживает ваш DNS.

Сначала узнайте свой центр сертификации

Прежде чем что-либо добавлять, выясните, какой центр выпускает ваш сертификат, иначе рискуете заблокировать собственного поставщика. Частые значения:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (большинство бесплатных и автоматических сертификатов)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Если вы выпускаете сертификаты через AWS Certificate Manager, нужно разрешить amazon.com, иначе ACM не сможет их выдать. Если не уверены, спросите того, кто настраивал ваш хостинг, или посмотрите сертификат в браузере (нажмите на замочек и откройте сведения об издателе сертификата).

Пошагово в Route 53

1. Войдите в AWS Management Console и откройте Route 53.
2. В левом меню выберите Hosted zones, затем выберите свой домен.
3. Нажмите Create record.
4. Оставьте поле Record name пустым, чтобы применить запись к корню домена (apex). Не вписывайте сюда имя своего домена.
5. В поле Record type выберите CAA.
6. В поле Value введите запись в трёхчастном формате Route 53 одной строкой: 0 issue "letsencrypt.org" Это флаги (0), затем тег (issue), затем центр сертификации в двойных кавычках.
7. Оставьте TTL по умолчанию (300 секунд вполне подойдёт).
8. Если спросят, выберите Simple routing, затем нажмите Create records.

Как разрешить несколько центров сертификации

Со временем у большинства доменов появляется не один центр — например, AWS Certificate Manager для одного сервиса и Let’s Encrypt для другого. В Route 53 дополнительные центры добавляются отдельными строками в поле Value той же записи CAA, по одной на строку:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Вместе они говорят: оба этих центра разрешены, другие — нет. Каждая строка — отдельная запись issue; два центра в одну строку не помещают.

Особенности Route 53, где часто ошибаются

• Самая частая ошибка — заблокировать собственный центр. Если вы добавите запись CAA только с digicert.com, а сертификат на деле продлевается через Let’s Encrypt или ACM, следующее продление тихо провалится, и замочек может «сломаться» спустя недели. Всегда перечисляйте все центры, которыми вы реально пользуетесь, прежде чем сохранять.
• Разрешите amazon.com для ACM. Если ваши сертификаты выпускает AWS Certificate Manager, а запись CAA не содержит amazon.com, проверка и продление в ACM провалятся. Это самая частая специфичная для Route 53 оплошность.
• Кавычки вокруг центра обязательны. Route 53 ожидает 0 issue "letsencrypt.org" с центром в двойных кавычках. Без них запись недействительна.
• Для корня оставьте имя записи пустым. Пустое имя применяет запись к apex; имя домена в этом поле создаёт её не там, где нужно.
• Флаг (Flags) для обычной записи — 0. Другое значение, 128, — строгий режим; применяйте его осознанно.
• Указывайте голый домен, а не URL. Значение — letsencrypt.org, никогда не https://letsencrypt.org и не www..
• Дайте время. Изменения DNS вступают в силу от нескольких минут до пары часов. Существующие сертификаты продолжают работать; CAA проверяется только при выпуске или продлении нового.

Проверьте результат

После сохранения и распространения изменений запустите бесплатную проверку на этом сайте. Она простыми словами скажет, на месте ли запись CAA и какие центры вы разрешили.

Готово? Проверьте свой домен бесплатно чтобы убедиться, что всё сработало — и увидеть полную оценку по всем 34 проверкам.