Defaults.Exposed › Podešavanje › CAA

Kako podesiti CAA zapis na Cloudflare-u

Dodajte CAA zapis u Cloudflare kako biste kontrolisali koje sertifikacione autoritete mogu da izdaju SSL sertifikate za vaš domen.

Zašto je ovo važno za vaše poslovanje

CAA zapis imenuje koje sertifikacione autoritete (kompanije koje izdaju SSL/TLS sertifikate koji stoje iza katanca u browseru) smiju da izdaju sertifikat za vaš domen. Svaki autoritet koji poštuje pravila mora prvo proveriti ovaj zapis i odbiti zahtev ako nije na listi.

Jednostavno rečeno: bez CAA zapisa, bilo koji od stotina sertifikacionih autoriteta širom sveta mogao bi biti prevaren ili pogrešiti i nekome izdati validan sertifikat za vaš domen — koji bi napadač mogao iskoristiti za uverljivo lažno predstavljanje vašeg sajta. CAA zapis zatvara tu rupu rečenicom samo ovi autoriteti, niko drugi. Besplatan je i zahteva samo nekoliko minuta.

Proverite da li Cloudflare upravlja vašim DNS-om

Ovo funkcioniše samo ako Cloudflare odgovara na DNS upite za vaš domen. Cloudflare je vaš DNS host, i DNS je aktivan samo kada name serveri vašeg domena pokazuju na Cloudflare name servere navedene u vašoj kontrolnoj tabli. Otvorite vaš domen u Cloudflare-u i proverite Overview stranicu da potvrdite da je Cloudflare aktivan. Ako vaši name serveri pokazuju negde drugde, dodajte CAA zapis kod provajdera koji zapravo upravlja vašim DNS-om.

Najpre saznajte koji je vaš sertifikacioni autoritet

Pre nego što išta dodate, saznajte koji autoritet izdaje vaš sertifikat, ili riskujete da blokirate sopstvenog provajdera. Uobičajene vrednosti:

• letsencrypt.org — Let’s Encrypt (koristi se za većinu besplatnih i automatizovanih sertifikata)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Napomena o Cloudflare-u: ako koristite Cloudflare-ov sopstveni SSL (proxy sa narančastim oblakom), Cloudflare izdaje edge sertifikate putem nekoliko autoriteta u vaše ime — proverite da svaki CAA zapis koji dodate i dalje dozvoljava te autoritete, ili prepustite Cloudflare-u upravljanje CAA-om. Ako niste sigurni, pitajte osobu koja je podesila vaš hosting, ili proverite sertifikat u browseru (kliknite na katanac, pa pogledajte izdavaoca sertifikata).

Korak po korak na Cloudflare-u

1. Prijavite se na Cloudflare i izaberite vaš domen.
2. U levom meniju idite na DNS podešavanja (potražite DNS / Records).
3. Kliknite Add record.
4. Podesite Type na CAA.
5. U polje Name unesite: @ Znak @ označava koren vašeg domena. Cloudflare automatski dodaje domen, pa ne upisujte naziv domena iza toga.
6. Cloudflare prikazuje CAA polja kao pregledne menije. Podesite ih ovako:
   • Flags: 0
   • Tag: izaberite Only allow specific hostnames (ovo je issue tag)
   • CA domain name (vrednost): letsencrypt.org
7. Ostavite TTL na Auto.
8. Kliknite Save.

Dozvola za više od jednog sertifikacionog autoriteta

Većina domena tokom vremena koristi više autoriteta — na primer, besplatan sertifikat danas i plaćen kasnije, ili drugi za zasebnu uslugu. Da biste dozvolili više autoriteta, dodajte poseban CAA zapis za svaki. Svi koriste isti @ name, 0 flags i issue tag — menja se samo CA domain vrednost:

• jedan zapis sa vrednošću letsencrypt.org
• jedan zapis sa vrednošću digicert.com

Zajedno to znači oba ova autoriteta su dozvoljena, niko drugi. Ne kombinujete ih u jedan zapis.

Greške koje se često prave na Cloudflare-u

• Najveća greška je blokiranje sopstvenog autoriteta. Ako dodate CAA zapis koji navodi samo digicert.com, ali vaš sertifikat se zapravo obnavlja putem Let’s Encrypt, sledeće obnavljanje će tiho propasti i vaš katanac može nestati nedeljama kasnije. Uvek uključite sve autoritete koje zaista koristite pre nego što sačuvate.
• Pazite na Cloudflare-ov sopstveni SSL. Ako vaš saobraćaj prolazi kroz Cloudflare (narančasti oblak), Cloudflare mora biti u mogućnosti da dobija edge sertifikate. Dodavanje CAA zapisa koji isključuje autoritete koje Cloudflare koristi može to pokvariti — u nedoumici, dozvolite Let’s Encrypt i Google Trust Services (pki.goog) pored vaših, ili prepustite CAA Cloudflare-u.
• Name je @, ne vaš domen. Koristite @ za koren; Cloudflare sam dodaje domen.
• Tekst taga se razlikuje. Cloudflare u svom meniju označava issue tag kao Only allow specific hostnames. To je pravi izbor za normalnu upotrebu.
• Flags je 0 za normalan zapis. Druga vrednost, 128, je strogi režim — koristite je samo namerno.
• Koristite goli domen, ne URL. Vrednost je letsencrypt.org, nikad https://letsencrypt.org i nikad www..
• Nema proxy-ja za CAA zapis. CAA je čisti DNS zapis — nema narančastog/sivog oblaka na koji treba obratiti pažnju.
• Dajte mu vremena. DNS izmene mogu stupiti na snagu za nekoliko minuta do nekoliko sati. Postojeći sertifikati nastavljaju da rade; CAA se proverava samo kada se izdaje ili obnavlja novi.

Proverite da li je uspelo

Kada sačuvate i zapis se propagira, pokrenite besplatnu proveru na ovom sajtu. Jasnin jezik će vam reći da li je vaš CAA zapis na mestu i koje ste autoritete dozvolili.

Gotovo? Proverite svoj domen besplatno da potvrdite da je uspelo — i vidite svoju potpunu ocenu kroz svih 34 provera.