Defaults.Exposed › Podešavanje › CAA

Kako podesiti CAA zapis na Namecheap-u

Dodajte CAA zapis na Namecheap-u kako biste kontrolisali koje sertifikacione autoritete mogu da izdaju SSL sertifikate za vaš domen.

Zašto je ovo važno za vaše poslovanje

CAA zapis imenuje koje sertifikacione autoritete (kompanije koje izdaju SSL/TLS sertifikate koji stoje iza katanca u browseru) smiju da izdaju sertifikat za vaš domen. Svaki autoritet koji poštuje pravila mora prvo proveriti ovaj zapis i odbiti zahtev ako nije na listi.

Jednostavno rečeno: bez CAA zapisa, bilo koji od stotina sertifikacionih autoriteta širom sveta mogao bi biti prevaren ili pogrešiti i nekome izdati validan sertifikat za vaš domen — koji bi napadač mogao iskoristiti za uverljivo lažno predstavljanje vašeg sajta. CAA zapis zatvara tu rupu rečenicom samo ovi autoriteti, niko drugi. Besplatan je i zahteva samo nekoliko minuta.

Proverite da li Namecheap upravlja vašim DNS-om

Ovo funkcioniše samo ako Namecheap odgovara na DNS upite za vaš domen. Zapisi ispod se unose u Advanced DNS, koji je aktivan samo kada domen koristi Namecheap BasicDNS (ili PremiumDNS). Prijavite se, otvorite Domain List, kliknite Manage pored vašeg domena i proverite da su name serveri podešeni na Namecheap. Ako vaši name serveri pokazuju negde drugde, dodajte CAA zapis kod provajdera koji zapravo upravlja vašim DNS-om.

Najpre saznajte koji je vaš sertifikacioni autoritet

Pre nego što išta dodate, saznajte koji autoritet izdaje vaš sertifikat, ili riskujete da blokirate sopstvenog provajdera. Uobičajene vrednosti:

• letsencrypt.org — Let’s Encrypt (koristi se za većinu besplatnih i automatizovanih sertifikata)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Ako niste sigurni, pitajte osobu koja je podesila vaš hosting, ili proverite sertifikat u browseru (kliknite na katanac, pa pogledajte izdavaoca sertifikata).

Korak po korak na Namecheap-u

1. Prijavite se na Namecheap i otvorite Domain List.
2. Kliknite Manage pored vašeg domena.
3. Otvorite karticu Advanced DNS.
4. U sekciji Host Records kliknite Add New Record.
5. Podesite Type na CAA Record.
6. U polje Host unesite: @ Znak @ označava koren vašeg domena. Ne upisujte naziv domena ovde.
7. U polje Flag unesite: 0
8. U polje Tag izaberite: issue
9. U polje Value (CA domain) unesite identifikator vašeg sertifikacionog autoriteta, na primer: letsencrypt.org
10. Ostavite TTL na Automatic.
11. Kliknite zelenu kvačicu da sačuvate, pa Save All Changes ako se od vas to traži.

Dozvola za više od jednog sertifikacionog autoriteta

Većina domena tokom vremena koristi više autoriteta — na primer, besplatan sertifikat danas i plaćen kasnije, ili drugi za zasebnu uslugu. Da biste dozvolili više autoriteta, dodajte poseban CAA zapis za svaki. Svi koriste isti @ host, 0 flag i issue tag — menja se samo vrednost:

• jedan zapis sa vrednošću letsencrypt.org
• jedan zapis sa vrednošću digicert.com

Zajedno to znači oba ova autoriteta su dozvoljena, niko drugi. Ne kombinujete ih u jedan zapis.

Greške koje se često prave na Namecheap-u

• Najveća greška je blokiranje sopstvenog autoriteta. Ako dodate CAA zapis koji navodi samo digicert.com, ali vaš sertifikat se zapravo obnavlja putem Let’s Encrypt, sledeće obnavljanje će tiho propasti i vaš katanac može nestati nedeljama kasnije. Uvek uključite sve autoritete koje zaista koristite pre nego što sačuvate.
• Host je @, ne vaš domen. Unos punog naziva domena u polje Host kreira zapis na pogrešnom mestu. Koristite @ za koren.
• Flag je 0 za normalan zapis. Druga vrednost, 128, je strogi režim koji čini da nesaglasni autoritet odmah odbije — koristite je samo namerno. Za uobičajenu upotrebu, 0.
• Koristite goli domen, ne URL. Vrednost je letsencrypt.org, nikad https://letsencrypt.org i nikad www..
• Izaberite CAA tip, ne TXT. Namecheap ima poseban tip CAA Record — koristite ga umesto da ručno pišete CAA u TXT zapis.
• Dajte mu vremena. DNS izmene mogu stupiti na snagu za nekoliko minuta do nekoliko sati. Postojeći sertifikati nastavljaju da rade; CAA se proverava samo kada se izdaje ili obnavlja novi.

Proverite da li je uspelo

Kada sačuvate i zapis se propagira, pokrenite besplatnu proveru na ovom sajtu. Jasnin jezik će vam reći da li je vaš CAA zapis na mestu i koje ste autoritete dozvolili.

Gotovo? Proverite svoj domen besplatno da potvrdite da je uspelo — i vidite svoju potpunu ocenu kroz svih 34 provera.