Defaults.Exposed › Nastavenie › CAA

Ako nastaviť CAA záznam na AWS Route 53

Pridajte CAA záznam na AWS Route 53 a určte, ktoré certifikačné autority môžu vydávať SSL certifikáty pre vašu doménu.

Prečo je to dôležité pre vaše podnikanie

CAA záznam uvádza, ktoré certifikačné autority (spoločnosti vydávajúce SSL/TLS certifikáty za ikonou zámku v prehliadači) smú vydať certifikát pre vašu doménu. Každá autorita, ktorá dodržiava pravidlá, musí tento záznam skontrolovať a žiadosť zamietnuť, ak na zozname nie je.

V praxi: bez CAA záznamu môžu stovky certifikačných autorít po celom svete omylom alebo podvodom vydať platný certifikát pre vašu doménu — čo môže útočník využiť na presvedčivú imitáciu vašej webstránky. CAA záznam tieto dvere zatvára slovami iba tieto autority, nikto iný. Je zadarmo a trvá niekoľko minút.

Overte, že Route 53 spravuje váš DNS

Toto funguje len vtedy, ak Route 53 odpovedá na DNS dotazy pre vašu doménu. V Route 53 vaše záznamy žijú v hosted zone pre doménu, a táto zóna je aktívna len vtedy, keď nameservery vašej domény ukazujú na štyri Route 53 nameservery uvedené v zóne. Otvorte hosted zone, skontrolujte jej NS záznam a overte, že tieto nameservery sú nastavené u vášho registrátora. Ak nameservery ukazujú inde, pridajte CAA záznam u toho poskytovateľa, ktorý váš DNS skutočne spravuje.

Najprv zistite svoju certifikačnú autoritu

Pred pridaním čohokoľvek zistite, ktorá autorita vydáva váš certifikát, inak riskujete, že zablokujete vlastného poskytovateľa. Bežné hodnoty:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (používaný väčšinou bezplatných a automatických certifikátov)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Ak používate AWS Certificate Manager na vydávanie certifikátov, musíte povoliť amazon.com, inak ACM nebude môcť vydávať. Ak si nie ste istí, opýtajte sa toho, kto nastavoval váš hosting, alebo skontrolujte certifikát v prehliadači (kliknite na zámok, potom zobrazte certifikát a jeho vydavateľa).

Postup na Route 53

1. Prihláste sa do AWS Management Console a otvorte Route 53.
2. V ľavom menu zvoľte Hosted zones, potom vyberte svoju doménu.
3. Kliknite na Create record.
4. Nechajte pole Record name prázdne, aby sa záznam aplikoval na koreň vašej domény (apex). Nezadávajte sem názov domény.
5. Nastavte Record type na CAA.
6. Do poľa Value zadajte záznam v trojdielnom formáte Route 53 na jednom riadku: 0 issue "letsencrypt.org" To sú flags (0), potom tag (issue), potom certifikačná autorita v dvojitých úvodzovkách.
7. TTL nechajte na predvolenej hodnote (300 sekúnd je v poriadku).
8. Ak sa opýta, zvoľte Simple routing, potom kliknite na Create records.

Povolenie viacerých certifikačných autorít

Väčšina domén v priebehu času používa viac ako jednu autoritu — napríklad AWS Certificate Manager pre jednu službu a Let’s Encrypt pre inú. V Route 53 pridávate ďalšie autority ako ďalšie riadky v poli Value toho istého CAA záznamu, jeden na riadok:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Spolu hovoria obe tieto autority sú povolené, žiadne iné. Každý riadok je samostatný záznam issue; nedávajte dve autority na jeden riadok.

Čo ľudia na Route 53 robia zle

• Najväčšia chyba je zablokovanie vlastnej autority. Ak pridáte CAA záznam s iba digicert.com, ale váš certifikát sa obnovuje cez Let’s Encrypt alebo ACM, ďalšie obnovenie ticho zlyhá a váš zámok sa môže rozbiť o týždne neskôr. Vždy zahrňte každú autoritu, ktorú skutočne používate, predtým než uložíte.
• Pre ACM povoľte amazon.com. Ak vaše certifikáty pochádzajú z AWS Certificate Manager a váš CAA záznam nezahŕňa amazon.com, overenie a obnovenie ACM zlyhá. Toto je najčastejšie úskalie špecifické pre Route 53.
• Úvodzovky okolo CA sú povinné. Route 53 očakáva 0 issue "letsencrypt.org" s autoritou v dvojitých úvodzovkách. Ich vynechanie robí záznam neplatným.
• Nechajte pole record name prázdne pre koreň. Prázdne name aplikuje záznam na apex; zadanie názvu domény ho vytvorí na nesprávnom mieste.
• Flags je 0 pre normálny záznam. Druhá hodnota, 128, je prísny režim — používajte len zámerne.
• Používajte holú doménu, nie URL. Hodnota je letsencrypt.org, nikdy https://letsencrypt.org a nikdy www..
• Počkajte chvíľu. Zmeny DNS môžu trvať niekoľko minút až pár hodín, kým sa prejavia. Existujúce certifikáty zostávajú funkčné; CAA sa kontroluje iba pri vydaní alebo obnovení nového certifikátu.

Overte, že to funguje

Po uložení a propagácii spustite bezplatnú kontrolu na tejto stránke. Povie vám zrozumiteľne, či je váš CAA záznam zavedený a ktoré autority ste povolili.

Hotovo? Skontrolujte svoju doménu zadarmo a potvrďte, že to fungovalo — a pozrite si celkové hodnotenie v rámci všetkých 34 kontrol.