Defaults.Exposed › Nastavitev › CAA

Kako nastaviti zapis CAA na AWS Route 53

Dodajte zapis CAA v AWS Route 53 in nadzorujte, kateri overitelji potrdil smejo izdajati SSL certifikate za vašo domeno.

Zakaj je to pomembno za vaše podjetje

Zapis CAA imenuje, kateri overitelji potrdil (podjetja, ki izdajajo SSL/TLS certifikate za zaklep v brskalniku) smejo izdati certifikat za vašo domeno. Vsak overitelj, ki upošteva pravila, mora pred izdajo preveriti ta zapis in zahtevo zavrniti, če ni na seznamu.

Povedano preprosteje: brez zapisa CAA bi katerikoli od na stotine overiteljev po vsem svetu lahko bil zaveden ali naredil napako in nekomu izročil veljaven certifikat za vašo domeno — ki bi ga napadalec lahko uporabil za prepričljivo ponarejanje vaše spletne strani. Zapis CAA ta vrata zapre z navodilom: samo ti overitelji, nihče drug. Brezplačno je in traja le nekaj minut.

Potrdite, da Route 53 upravlja vaš DNS

To deluje le, če Route 53 odgovarja na poizvedbe DNS za vašo domeno. V Route 53 vaši zapisi živijo znotraj hosted zone za domeno, in ta cona je aktivna le, ko imenski strežniki vaše domene kažejo na štiri imenskie strežnike Route 53, navedene v coni. Odprite hosted zone, preverite njen zapis NS in potrdite, da so ti imenski strežniki nastavljeni pri vašem registrarju. Če vaši imenski strežniki kažejo drugam, dodajte zapis CAA pri tistem ponudniku, ki upravlja vaš DNS.

Najprej ugotovite svojega overitelja potrdil

Preden karkoli dodate, ugotovite, kateri overitelj izdaja vaš certifikat, sicer tvegate, da izključite svojega lastnega ponudnika. Pogoste vrednosti:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (večina brezplačnih in avtomatiziranih certifikatov)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Če za izdajanje certifikatov uporabljate AWS Certificate Manager, morate dovoliti amazon.com, sicer ACM ne bo mogel izdati certifikata. Če niste prepričani, vprašajte tistega, ki je postavil vaše gostovanje, ali preverite certifikat v brskalniku (kliknite zaklep, nato si oglejte izdajatelja certifikata).

Korak za korakom na Route 53

1. Prijavite se v konzolo AWS Management Console in odprite Route 53.
2. V levem meniju izberite Hosted zones, nato izberite svojo domeno.
3. Kliknite Create record.
4. Polje Record name pustite prazno, da zapis velja za koren domene (apex). Sem ne vpisujte imena domene.
5. Nastavite Record type na CAA.
6. V polje Value vnesite zapis v Route 53-jevem tristopenjskem formatu v eni vrstici: 0 issue "letsencrypt.org" To so zastavice (0), nato oznaka (issue), nato overitelj potrdil v dvojnih narekovajih.
7. TTL pustite na privzetku (300 sekund je primerno).
8. Izberite Simple routing, če se vpraša, nato kliknite Create records.

Dovoljevanje več overiteljev potrdil

Večina domen sčasoma uporablja več kot enega overitelja — na primer AWS Certificate Manager za eno storitev in Let’s Encrypt za drugo. V Route 53 dodajte dodatne overitelje kot dodatne vrstice v polju Value istega zapisa CAA, eno na vrstico:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Skupaj to pomeni: oba overitelja sta dovoljena, nihče drug. Vsaka vrstica je ločen vnos issue; ne postavljajte dveh overiteljev v eno vrstico.

Pogoste napake na Route 53

• Največja napaka je izključiti lastnega overitelja. Če dodate zapis CAA z vrednostjo samo digicert.com, vaš certifikat pa se dejansko obnavlja prek Let’s Encrypt ali ACM, bo naslednja obnova tiho spodletela in vaš zaklep se lahko čez tedne pokvari. Vedno vključite vsakega overitelja, ki ga resnično uporabljate, preden shranite.
• Za ACM dovolite amazon.com. Če vaši certifikati prihajajo iz AWS Certificate Manager in vaš zapis CAA ne vključuje amazon.com, bosta potrditev in obnova ACM spodleteli. To je najpogostejša specifična napaka za Route 53.
• Narekovaji okrog CA so obvezni. Route 53 pričakuje 0 issue "letsencrypt.org" z overiteljem v dvojnih narekovajih. Njihova opustitev naredi zapis neveljaven.
• Polje z imenom zapisa pustite prazno za koren. Prazno ime postavi zapis na vrh (apex); vnos imena domene ga ustvari na napačnem mestu.
• Flags je 0 za navaden zapis. Vrednost 128 je strog način — uporabite jo samo namerno.
• Uporabite golo domeno, ne URL-ja. Vrednost je letsencrypt.org, nikoli https://letsencrypt.org in nikoli www..
• Dajte mu čas. Spremembe DNS lahko stopijo v veljavo v nekaj minutah do v parih urah. Obstoječi certifikati delujejo naprej; CAA se preveri samo pri izdaji ali obnovi novega.

Preverite, ali je delovalo

Ko je zapis shranjen in razširjen, zaženite brezplačno preverjanje na tem spletnem mestu. Povedalo vam bo v razumljivem jeziku, ali je vaš zapis CAA na mestu in katere overitelje ste dovolili.

Končano? Preverite svojo domeno brezplačno da potrdite, da je delovalo — in si oglejte vašo celotno oceno po vseh 34 preverjanjih.