Defaults.Exposed › Nastavenie › CAA

Ako nastaviť CAA záznam na Namecheap

Pridajte CAA záznam na Namecheap a určte, ktoré certifikačné autority môžu vydávať SSL certifikáty pre vašu doménu.

Prečo je to dôležité pre vaše podnikanie

CAA záznam uvádza, ktoré certifikačné autority (spoločnosti vydávajúce SSL/TLS certifikáty za ikonou zámku v prehliadači) smú vydať certifikát pre vašu doménu. Každá autorita, ktorá dodržiava pravidlá, musí tento záznam skontrolovať a žiadosť zamietnuť, ak na zozname nie je.

V praxi: bez CAA záznamu môžu stovky certifikačných autorít po celom svete omylom alebo podvodom vydať platný certifikát pre vašu doménu — čo môže útočník využiť na presvedčivú imitáciu vašej webstránky. CAA záznam tieto dvere zatvára slovami iba tieto autority, nikto iný. Je zadarmo a trvá niekoľko minút.

Overte, že Namecheap spravuje váš DNS

Toto funguje len vtedy, ak Namecheap odpovedá na DNS dotazy pre vašu doménu. Záznamy nižšie sa ukladajú v Advanced DNS, čo je aktívne iba vtedy, keď vaša doména používa Namecheap BasicDNS (alebo PremiumDNS). Prihláste sa, otvorte Domain List, kliknite na Manage pri vašej doméne a overte, že nameservery sú nastavené na Namecheap. Ak vaše nameservery ukazujú inde, pridajte CAA záznam u toho poskytovateľa, ktorý váš DNS skutočne spravuje.

Najprv zistite svoju certifikačnú autoritu

Pred pridaním čohokoľvek zistite, ktorá autorita vydáva váš certifikát, inak riskujete, že zablokujete vlastného poskytovateľa. Bežné hodnoty:

• letsencrypt.org — Let’s Encrypt (používaný väčšinou bezplatných a automatických certifikátov)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Ak si nie ste istí, opýtajte sa toho, kto nastavoval váš hosting, alebo skontrolujte certifikát v prehliadači (kliknite na zámok, potom zobrazte certifikát a jeho vydavateľa).

Postup na Namecheap

1. Prihláste sa do Namecheap a otvorte Domain List.
2. Kliknite na Manage vedľa vašej domény.
3. Otvorte kartu Advanced DNS.
4. Pod Host Records kliknite na Add New Record.
5. Nastavte Type záznamu na CAA Record.
6. Do poľa Host zadajte: @ Znak @ označuje koreň vašej domény. Nezadávajte sem názov domény.
7. Do poľa Flag zadajte: 0
8. Do poľa Tag zvoľte: issue
9. Do poľa Value (CA domain) zadajte identifikátor vašej certifikačnej autority, napríklad: letsencrypt.org
10. TTL nechajte na Automatic.
11. Kliknite na zelené zaškrtnutie pre uloženie, potom na Save All Changes ak sa zobrazí výzva.

Povolenie viacerých certifikačných autorít

Väčšina domén v priebehu času používa viac ako jednu autoritu — napríklad dnes bezplatný certifikát a neskôr platený, alebo iný pre samostatnú službu. Ak chcete povoliť viacero, pridajte samostatný CAA záznam pre každú z nich. Všetky používajú rovnaký @ host, 0 flag a issue tag — mení sa iba hodnota:

• jeden záznam s hodnotou letsencrypt.org
• jeden záznam s hodnotou digicert.com

Spolu hovoria obe tieto autority sú povolené, žiadne iné. Nekombinujte ich do jedného záznamu.

Čo ľudia na Namecheap robia zle

• Najväčšia chyba je zablokovanie vlastnej autority. Ak pridáte CAA záznam s iba digicert.com, ale váš certifikát sa obnovuje cez Let’s Encrypt, ďalšie obnovenie ticho zlyhá a váš zámok sa môže rozbiť o týždne neskôr. Vždy zahrňte každú autoritu, ktorú skutočne používate, predtým než uložíte.
• Host je @, nie vaša doména. Zadaním plného názvu domény do poľa Host vytvoríte záznam na nesprávnom mieste. Použite @ pre koreň.
• Flag je 0 pre normálny záznam. Druhá hodnota, 128, je prísny režim, ktorý nútí nesúladnú autoritu odmietnuť — používajte len zámerne. Pre bežné použitie 0.
• Používajte holú doménu, nie URL. Hodnota je letsencrypt.org, nikdy https://letsencrypt.org a nikdy www..
• Vyberte typ CAA, nie TXT. Namecheap má samostatný typ CAA Record — použite ho namiesto ručného písania CAA do TXT záznamu.
• Počkajte chvíľu. Zmeny DNS môžu trvať niekoľko minút až pár hodín, kým sa prejavia. Existujúce certifikáty zostávajú funkčné; CAA sa kontroluje iba pri vydaní alebo obnovení nového certifikátu.

Overte, že to funguje

Po uložení a propagácii spustite bezplatnú kontrolu na tejto stránke. Povie vám zrozumiteľne, či je váš CAA záznam zavedený a ktoré autority ste povolili.

Hotovo? Skontrolujte svoju doménu zadarmo a potvrďte, že to fungovalo — a pozrite si celkové hodnotenie v rámci všetkých 34 kontrol.