Defaults.Exposed › Nastavitev › CAA

Kako nastaviti zapis CAA na Cloudflare

Dodajte zapis CAA v Cloudflare in nadzorujte, kateri overitelji potrdil smejo izdajati SSL certifikate za vašo domeno.

Zakaj je to pomembno za vaše podjetje

Zapis CAA imenuje, kateri overitelji potrdil (podjetja, ki izdajajo SSL/TLS certifikate za zaklep v brskalniku) smejo izdati certifikat za vašo domeno. Vsak overitelj, ki upošteva pravila, mora pred izdajo preveriti ta zapis in zahtevo zavrniti, če ni na seznamu.

Povedano preprosteje: brez zapisa CAA bi katerikoli od na stotine overiteljev po vsem svetu lahko bil zaveden ali naredil napako in nekomu izročil veljaven certifikat za vašo domeno — ki bi ga napadalec lahko uporabil za prepričljivo ponarejanje vaše spletne strani. Zapis CAA ta vrata zapre z navodilom: samo ti overitelji, nihče drug. Brezplačno je in traja le nekaj minut.

Potrdite, da Cloudflare upravlja vaš DNS

To deluje le, če Cloudflare odgovarja na poizvedbe DNS za vašo domeno. Cloudflare je vaš gostitelj DNS, in njegov DNS je aktiven le, ko imenski strežniki vaše domene kažejo na imenskie strežnike Cloudflare, prikazane v nadzorni plošči. Odprite svojo domeno v Cloudflare in na strani Overview potrdite, da je Cloudflare aktiven. Če imenski strežniki kažejo drugam, dodajte zapis CAA pri tistem ponudniku, ki upravlja vaš DNS.

Najprej ugotovite svojega overitelja potrdil

Preden karkoli dodate, ugotovite, kateri overitelj izdaja vaš certifikat, sicer tvegate, da izključite svojega lastnega ponudnika. Pogoste vrednosti:

• letsencrypt.org — Let’s Encrypt (večina brezplačnih in avtomatiziranih certifikatov)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Opomba za Cloudflare: če uporabljate Cloudflareov lastni SSL (proxirana nastavitev z oranžnim oblakom), Cloudflare v vašem imenu pridobiva certifikate prek več overiteljev — preverite, da kateri koli zapis CAA, ki ga dodate, te overitelje še vedno dovoljuje, ali pa pustite, da Cloudflare upravlja CAA namesto vas. Če niste prepričani, vprašajte tistega, ki je postavil vaše gostovanje, ali preverite certifikat v brskalniku (kliknite zaklep, nato si oglejte izdajatelja certifikata).

Korak za korakom na Cloudflare

1. Prijavite se v Cloudflare in izberite svojo domeno.
2. V levem meniju pojdite na nastavitve DNS (poiščite DNS / Records).
3. Kliknite Add record.
4. Nastavite Type na CAA.
5. V polje Name vnesite: @ @ pomeni koren vaše domene. Cloudflare doda domeno samodejno, torej sem ne vpisujte njenega imena.
6. Cloudflare prikaže polja CAA kot prijazne menije. Nastavite jih tako:
   • Flags: 0
   • Tag: izberite Only allow specific hostnames (to je oznaka issue)
   • CA domain name (vrednost): letsencrypt.org
7. TTL pustite na Auto.
8. Kliknite Save.

Dovoljevanje več overiteljev potrdil

Večina domen sčasoma uporablja več kot enega overitelja — na primer brezplačen certifikat danes in plačljiv pozneje ali drugega za ločeno storitev. Če jih želite dovoliti več, dodajte ločen zapis CAA za vsakega. Vsi uporabljajo isto ime @, zastavice 0 in oznako issue — samo vrednost CA domene se spremeni:

• en zapis z vrednostjo letsencrypt.org
• en zapis z vrednostjo digicert.com

Skupaj to pomeni: oba overitelja sta dovoljena, nihče drug. Ne združujte ju v en sam zapis.

Pogoste napake na Cloudflare

• Največja napaka je izključiti lastnega overitelja. Če dodate zapis CAA z vrednostjo samo digicert.com, vaš certifikat pa se dejansko obnavlja prek Let’s Encrypt, bo naslednja obnova tiho spodletela in vaš zaklep se lahko čez tedne pokvari. Vedno vključite vsakega overitelja, ki ga resnično uporabljate, preden shranite.
• Pazite na Cloudflareov lastni SSL. Če vaš promet poteka prek Cloudflare (oranžni oblak), mora Cloudflare pridobiti robne certifikate. Dodajanje zapisa CAA, ki izključuje overitelje, ki jih Cloudflare uporablja, lahko to prekine — ko ste v dvomih, dovolite Let’s Encrypt in Google Trust Services (pki.goog) poleg svojega ali pustite CAA pri Cloudflare.
• Name je @, ne vaša domena. Uporabite @ za koren; Cloudflare sam doda domeno.
• Besedilo oznake se razlikuje. Cloudflare v meniju oznako issue prikaže kot Only allow specific hostnames. To je prava izbira za normalno rabo.
• Flags je 0 za navaden zapis. Vrednost 128 je strog način — uporabite jo samo namerno.
• Uporabite golo domeno, ne URL-ja. Vrednost je letsencrypt.org, nikoli https://letsencrypt.org in nikoli www..
• Ni proxyja za zapis CAA. CAA je čist zapis DNS — orange/sivi oblak tukaj ni relevanten.
• Dajte mu čas. Spremembe DNS lahko stopijo v veljavo v nekaj minutah do v parih urah. Obstoječi certifikati delujejo naprej; CAA se preveri samo pri izdaji ali obnovi novega.

Preverite, ali je delovalo

Ko je zapis shranjen in razširjen, zaženite brezplačno preverjanje na tem spletnem mestu. Povedalo vam bo v razumljivem jeziku, ali je vaš zapis CAA na mestu in katere overitelje ste dovolili.

Končano? Preverite svojo domeno brezplačno da potrdite, da je delovalo — in si oglejte vašo celotno oceno po vseh 34 preverjanjih.