Defaults.Exposed › Nastavenie › CAA

Ako nastaviť CAA záznam na Cloudflare

Pridajte CAA záznam v Cloudflare a určte, ktoré certifikačné autority môžu vydávať SSL certifikáty pre vašu doménu.

Prečo je to dôležité pre vaše podnikanie

CAA záznam uvádza, ktoré certifikačné autority (spoločnosti vydávajúce SSL/TLS certifikáty za ikonou zámku v prehliadači) smú vydať certifikát pre vašu doménu. Každá autorita, ktorá dodržiava pravidlá, musí tento záznam skontrolovať a žiadosť zamietnuť, ak na zozname nie je.

V praxi: bez CAA záznamu môžu stovky certifikačných autorít po celom svete omylom alebo podvodom vydať platný certifikát pre vašu doménu — čo môže útočník využiť na presvedčivú imitáciu vašej webstránky. CAA záznam tieto dvere zatvára slovami iba tieto autority, nikto iný. Je zadarmo a trvá niekoľko minút.

Overte, že Cloudflare spravuje váš DNS

Toto funguje len vtedy, ak Cloudflare odpovedá na DNS dotazy pre vašu doménu. Cloudflare je váš DNS hostiteľ a jeho DNS je aktívny len vtedy, keď nameservery vašej domény ukazujú na Cloudflare nameservery zobrazené v dashboarde. Otvorte svoju doménu v Cloudflare a na stránke Overview skontrolujte, či je Cloudflare aktívny. Ak nameservery ukazujú inde, pridajte CAA záznam u toho poskytovateľa, ktorý váš DNS skutočne spravuje.

Najprv zistite svoju certifikačnú autoritu

Pred pridaním čohokoľvek zistite, ktorá autorita vydáva váš certifikát, inak riskujete, že zablokujete vlastného poskytovateľa. Bežné hodnoty:

• letsencrypt.org — Let’s Encrypt (používaný väčšinou bezplatných a automatických certifikátov)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Poznámka k Cloudflare: ak používate vlastný SSL od Cloudflare (nastavenie s oranžovým oblakom), Cloudflare vydáva certifikáty cez niekoľko autorít vo vašom mene — uistite sa, že váš CAA záznam tieto autority stále povoľuje, alebo nechajte správu CAA na Cloudflare. Ak si nie ste istí, opýtajte sa toho, kto nastavoval váš hosting, alebo skontrolujte certifikát v prehliadači (kliknite na zámok, potom zobrazte certifikát a jeho vydavateľa).

Postup na Cloudflare

1. Prihláste sa do Cloudflare a vyberte svoju doménu.
2. V ľavom menu prejdite do nastavení DNS (hľadajte DNS / Records).
3. Kliknite na Add record.
4. Nastavte Type na CAA.
5. Do poľa Name zadajte: @ Znak @ označuje koreň vašej domény. Cloudflare doménu doplní za vás, takže nezadávajte za ním názov domény.
6. Cloudflare zobrazí CAA polia ako prehľadné menu. Nastavte ich takto:
   • Flags: 0
   • Tag: zvoľte Only allow specific hostnames (toto je tag issue)
   • CA domain name (hodnota): letsencrypt.org
7. TTL nechajte na Auto.
8. Kliknite na Save.

Povolenie viacerých certifikačných autorít

Väčšina domén v priebehu času používa viac ako jednu autoritu — napríklad dnes bezplatný certifikát a neskôr platený, alebo iný pre samostatnú službu. Ak chcete povoliť viacero, pridajte samostatný CAA záznam pre každú z nich. Všetky používajú rovnaké @ name, 0 flags a issue tag — mení sa iba hodnota CA domény:

• jeden záznam s hodnotou letsencrypt.org
• jeden záznam s hodnotou digicert.com

Spolu hovoria obe tieto autority sú povolené, žiadne iné. Nekombinujte ich do jedného záznamu.

Čo ľudia na Cloudflare robia zle

• Najväčšia chyba je zablokovanie vlastnej autority. Ak pridáte CAA záznam s iba digicert.com, ale váš certifikát sa obnovuje cez Let’s Encrypt, ďalšie obnovenie ticho zlyhá a váš zámok sa môže rozbiť o týždne neskôr. Vždy zahrňte každú autoritu, ktorú skutočne používate, predtým než uložíte.
• Pozor na vlastný SSL Cloudflare. Ak váš traffic prechádza cez Cloudflare (oranžový oblak), Cloudflare potrebuje získavať hraniční certifikáty. Pridanie CAA záznamu, ktorý vylučuje autority používané Cloudflare, to môže prerušiť — v prípade pochybností povolte Let’s Encrypt a Google Trust Services (pki.goog) popri vlastných, alebo nechajte CAA na Cloudflare.
• Name je @, nie vaša doména. Použite @ pre koreň; Cloudflare doménu doplní sám.
• Popis tagu sa líši. Cloudflare označuje tag issue ako Only allow specific hostnames vo svojom menu. To je správna voľba pre bežné použitie.
• Flags je 0 pre normálny záznam. Druhá hodnota, 128, je prísny režim — používajte len zámerne.
• Používajte holú doménu, nie URL. Hodnota je letsencrypt.org, nikdy https://letsencrypt.org a nikdy www..
• CAA záznam sa neproxuje. CAA je čistý DNS záznam — prepínač oranžového/sivého oblaku tu nie je relevantný.
• Počkajte chvíľu. Zmeny DNS môžu trvať niekoľko minút až pár hodín, kým sa prejavia. Existujúce certifikáty zostávajú funkčné; CAA sa kontroluje iba pri vydaní alebo obnovení nového certifikátu.

Overte, že to funguje

Po uložení a propagácii spustite bezplatnú kontrolu na tejto stránke. Povie vám zrozumiteľne, či je váš CAA záznam zavedený a ktoré autority ste povolili.

Hotovo? Skontrolujte svoju doménu zadarmo a potvrďte, že to fungovalo — a pozrite si celkové hodnotenie v rámci všetkých 34 kontrol.