Defaults.Exposed › Podešavanje › CAA

Kako podesiti CAA zapis na GoDaddy-u

Dodajte CAA zapis na GoDaddy-u kako biste kontrolisali koje sertifikacione autoritete mogu da izdaju SSL sertifikate za vaš domen.

Zašto je ovo važno za vaše poslovanje

CAA zapis imenuje koje sertifikacione autoritete (kompanije koje izdaju SSL/TLS sertifikate koji stoje iza katanca u browseru) smiju da izdaju sertifikat za vaš domen. Svaki autoritet koji poštuje pravila mora prvo proveriti ovaj zapis i odbiti zahtev ako nije na listi.

Jednostavno rečeno: bez CAA zapisa, bilo koji od stotina sertifikacionih autoriteta širom sveta mogao bi biti prevaren ili pogrešiti i nekome izdati validan sertifikat za vaš domen — koji bi napadač mogao iskoristiti za uverljivo lažno predstavljanje vašeg sajta. CAA zapis zatvara tu rupu rečenicom samo ovi autoriteti, niko drugi. Besplatan je i zahteva samo nekoliko minuta.

Proverite da li GoDaddy upravlja vašim DNS-om

Ovo funkcioniše samo ako GoDaddy odgovara na DNS upite za vaš domen. GoDaddy prodaje domene i hostuje DNS, ali to su dve odvojene stvari — name serveri vašeg domena moraju pokazivati na GoDaddy da bi zapisi koje tu dodate bili aktivni. Prijavite se, otvorite vaš domen i proverite da su name serveri GoDaddy-evi. Ako pokazuju negde drugde, dodajte CAA zapis kod provajdera koji zapravo upravlja vašim DNS-om.

Najpre saznajte koji je vaš sertifikacioni autoritet

Pre nego što išta dodate, saznajte koji autoritet izdaje vaš sertifikat, ili riskujete da blokirate sopstvenog provajdera. Uobičajene vrednosti:

• letsencrypt.org — Let’s Encrypt (koristi se za većinu besplatnih i automatizovanih sertifikata)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Ako niste sigurni, pitajte osobu koja je podesila vaš hosting, ili proverite sertifikat u browseru (kliknite na katanac, pa pogledajte izdavaoca sertifikata).

Korak po korak na GoDaddy-u

1. Prijavite se na GoDaddy i otvorite Domain Portfolio (ili My Products).
2. Pronađite vaš domen i otvorite stranicu za upravljanje DNS-om (potražite DNS ili Manage DNS).
3. Ispod liste zapisa kliknite Add (ili Add New Record).
4. Podesite Type na CAA.
5. U polje Name (ili Host) unesite: @ Znak @ označava koren vašeg domena. Ne upisujte naziv domena ovde.
6. Podesite Flags na: 0
7. Podesite Tag na: issue
8. U polje Value unesite identifikator vašeg sertifikacionog autoriteta, na primer: letsencrypt.org
9. Ostavite TTL na podrazumevanoj vrednosti (1 sat je u redu).
10. Kliknite Save.

Dozvola za više od jednog sertifikacionog autoriteta

Većina domena tokom vremena koristi više autoriteta — na primer, besplatan sertifikat danas i plaćen kasnije, ili drugi za zasebnu uslugu. Da biste dozvolili više autoriteta, dodajte poseban CAA zapis za svaki. Svi koriste isti @ name, 0 flags i issue tag — menja se samo vrednost:

• jedan zapis sa vrednošću letsencrypt.org
• jedan zapis sa vrednošću digicert.com

Zajedno to znači oba ova autoriteta su dozvoljena, niko drugi. Ne kombinujete ih u jedan zapis.

Greške koje se često prave na GoDaddy-u

• Najveća greška je blokiranje sopstvenog autoriteta. Ako dodate CAA zapis koji navodi samo digicert.com, ali vaš sertifikat se zapravo obnavlja putem Let’s Encrypt, sledeće obnavljanje će tiho propasti i vaš katanac može nestati nedeljama kasnije. Uvek uključite sve autoritete koje zaista koristite pre nego što sačuvate.
• Name je @, ne vaš domen. Unos punog naziva domena u polje Name kreira zapis na pogrešnom mestu. Koristite @ za koren.
• Flags je 0 za normalan zapis. Druga vrednost, 128, je strogi režim koji čini da nesaglasni autoritet odmah odbije — koristite je samo namerno. Za uobičajenu upotrebu, 0.
• Koristite goli domen, ne URL. Vrednost je letsencrypt.org, nikad https://letsencrypt.org i nikad www..
• Ne dodavajte sopstvene navodnike. Unesite vrednost bez navodnika; GoDaddy sam dodaje navodnike.
• Dajte mu vremena. DNS izmene mogu stupiti na snagu za nekoliko minuta do nekoliko sati. Postojeći sertifikati nastavljaju da rade; CAA se proverava samo kada se izdaje ili obnavlja novi.

Proverite da li je uspelo

Kada sačuvate i zapis se propagira, pokrenite besplatnu proveru na ovom sajtu. Jasnin jezik će vam reći da li je vaš CAA zapis na mestu i koje ste autoritete dozvolili.

Gotovo? Proverite svoj domen besplatno da potvrdite da je uspelo — i vidite svoju potpunu ocenu kroz svih 34 provera.