Defaults.Exposed › Nastavenie › CAA

Ako nastaviť CAA záznam na GoDaddy

Pridajte CAA záznam na GoDaddy a určte, ktoré certifikačné autority môžu vydávať SSL certifikáty pre vašu doménu.

Prečo je to dôležité pre vaše podnikanie

CAA záznam uvádza, ktoré certifikačné autority (spoločnosti vydávajúce SSL/TLS certifikáty za ikonou zámku v prehliadači) smú vydať certifikát pre vašu doménu. Každá autorita, ktorá dodržiava pravidlá, musí tento záznam skontrolovať a žiadosť zamietnuť, ak na zozname nie je.

V praxi: bez CAA záznamu môžu stovky certifikačných autorít po celom svete omylom alebo podvodom vydať platný certifikát pre vašu doménu — čo môže útočník využiť na presvedčivú imitáciu vašej webstránky. CAA záznam tieto dvere zatvára slovami iba tieto autority, nikto iný. Je zadarmo a trvá niekoľko minút.

Overte, že GoDaddy spravuje váš DNS

Toto funguje len vtedy, ak GoDaddy odpovedá na DNS dotazy pre vašu doménu. GoDaddy predáva domény a zároveň hostuje DNS, ale oboje sú oddelené — nameservery vašej domény musia ukazovať na GoDaddy, aby tu pridané záznamy boli aktívne. Prihláste sa, otvorte svoju doménu a overte, že nameservery sú GoDaddy vlastné. Ak ukazujú inde, pridajte CAA záznam u toho poskytovateľa, ktorý váš DNS skutočne spravuje.

Najprv zistite svoju certifikačnú autoritu

Pred pridaním čohokoľvek zistite, ktorá autorita vydáva váš certifikát, inak riskujete, že zablokujete vlastného poskytovateľa. Bežné hodnoty:

• letsencrypt.org — Let’s Encrypt (používaný väčšinou bezplatných a automatických certifikátov)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Ak si nie ste istí, opýtajte sa toho, kto nastavoval váš hosting, alebo skontrolujte certifikát v prehliadači (kliknite na zámok, potom zobrazte certifikát a jeho vydavateľa).

Postup na GoDaddy

1. Prihláste sa do GoDaddy a otvorte Domain Portfolio (alebo My Products).
2. Nájdite svoju doménu a otvorte jej stránku správy DNS (hľadajte DNS alebo Manage DNS).
3. V zozname záznamov kliknite na Add (alebo Add New Record).
4. Nastavte Type na CAA.
5. Do poľa Name (alebo Host) zadajte: @ Znak @ označuje koreň vašej domény. Nezadávajte sem názov domény.
6. Nastavte Flags na: 0
7. Nastavte Tag na: issue
8. Do poľa Value zadajte identifikátor vašej certifikačnej autority, napríklad: letsencrypt.org
9. TTL nechajte na predvolenej hodnote (1 hodina je v poriadku).
10. Kliknite na Save.

Povolenie viacerých certifikačných autorít

Väčšina domén v priebehu času používa viac ako jednu autoritu — napríklad dnes bezplatný certifikát a neskôr platený, alebo iný pre samostatnú službu. Ak chcete povoliť viacero, pridajte samostatný CAA záznam pre každú z nich. Všetky používajú rovnaké @ name, 0 flags a issue tag — mení sa iba hodnota:

• jeden záznam s hodnotou letsencrypt.org
• jeden záznam s hodnotou digicert.com

Spolu hovoria obe tieto autority sú povolené, žiadne iné. Nekombinujte ich do jedného záznamu.

Čo ľudia na GoDaddy robia zle

• Najväčšia chyba je zablokovanie vlastnej autority. Ak pridáte CAA záznam s iba digicert.com, ale váš certifikát sa obnovuje cez Let’s Encrypt, ďalšie obnovenie ticho zlyhá a váš zámok sa môže rozbiť o týždne neskôr. Vždy zahrňte každú autoritu, ktorú skutočne používate, predtým než uložíte.
• Name je @, nie vaša doména. Zadaním plného názvu domény do poľa Name vytvoríte záznam na nesprávnom mieste. Použite @ pre koreň.
• Flags je 0 pre normálny záznam. Druhá hodnota, 128, je prísny režim, ktorý nútí nesúladnú autoritu odmietnuť — používajte len zámerne. Pre bežné použitie 0.
• Používajte holú doménu, nie URL. Hodnota je letsencrypt.org, nikdy https://letsencrypt.org a nikdy www..
• Nepridávajte vlastné úvodzovky. Zadajte holú hodnotu; GoDaddy si prípadné úvodzovky doplní sám.
• Počkajte chvíľu. Zmeny DNS môžu trvať niekoľko minút až pár hodín, kým sa prejavia. Existujúce certifikáty zostávajú funkčné; CAA sa kontroluje iba pri vydaní alebo obnovení nového certifikátu.

Overte, že to funguje

Po uložení a propagácii spustite bezplatnú kontrolu na tejto stránke. Povie vám zrozumiteľne, či je váš CAA záznam zavedený a ktoré autority ste povolili.

Hotovo? Skontrolujte svoju doménu zadarmo a potvrďte, že to fungovalo — a pozrite si celkové hodnotenie v rámci všetkých 34 kontrol.