Defaults.Exposed › Podešavanje › CAA

Kako podesiti CAA zapis na AWS Route 53

Dodajte CAA zapis u AWS Route 53 kako biste kontrolisali koje sertifikacione autoritete mogu da izdaju SSL sertifikate za vaš domen.

Zašto je ovo važno za vaše poslovanje

CAA zapis imenuje koje sertifikacione autoritete (kompanije koje izdaju SSL/TLS sertifikate koji stoje iza katanca u browseru) smiju da izdaju sertifikat za vaš domen. Svaki autoritet koji poštuje pravila mora prvo proveriti ovaj zapis i odbiti zahtev ako nije na listi.

Jednostavno rečeno: bez CAA zapisa, bilo koji od stotina sertifikacionih autoriteta širom sveta mogao bi biti prevaren ili pogrešiti i nekome izdati validan sertifikat za vaš domen — koji bi napadač mogao iskoristiti za uverljivo lažno predstavljanje vašeg sajta. CAA zapis zatvara tu rupu rečenicom samo ovi autoriteti, niko drugi. Besplatan je i zahteva samo nekoliko minuta.

Proverite da li Route 53 upravlja vašim DNS-om

Ovo funkcioniše samo ako Route 53 odgovara na DNS upite za vaš domen. U Route 53 vaši zapisi žive unutar hosted zone za domen, i ta zona je aktivna samo kada name serveri vašeg domena pokazuju na četiri Route 53 name servera navedena u toj zoni. Otvorite hosted zonu, proverite njen NS zapis i potvrdite da su ti name serveri podešeni kod vašeg registrara. Ako vaši name serveri pokazuju negde drugde, dodajte CAA zapis kod provajdera koji zapravo upravlja vašim DNS-om.

Najpre saznajte koji je vaš sertifikacioni autoritet

Pre nego što išta dodate, saznajte koji autoritet izdaje vaš sertifikat, ili riskujete da blokirate sopstvenog provajdera. Uobičajene vrednosti:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (koristi se za većinu besplatnih i automatizovanih sertifikata)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Ako koristite AWS Certificate Manager za proviziju sertifikata, morate dozvoliti amazon.com ili ACM neće moći da ih izdaje. Ako niste sigurni, pitajte osobu koja je podesila vaš hosting, ili proverite sertifikat u browseru (kliknite na katanac, pa pogledajte izdavaoca sertifikata).

Korak po korak na Route 53

1. Prijavite se na AWS Management Console i otvorite Route 53.
2. U levom meniju izaberite Hosted zones, pa izaberite vaš domen.
3. Kliknite Create record.
4. Ostavite polje Record name prazno da primenite zapis na koren vašeg domena (apex). Ne upisujte naziv domena ovde.
5. Podesite Record type na CAA.
6. U polje Value unesite zapis u Route 53 tro-delnom formatu u jednom redu: 0 issue "letsencrypt.org" To su flags (0), zatim tag (issue), zatim sertifikacioni autoritet u dvostrukim navodnicima.
7. Ostavite TTL na podrazumevanoj vrednosti (300 sekundi je u redu).
8. Izaberite Simple routing ako se to traži, pa kliknite Create records.

Dozvola za više od jednog sertifikacionog autoriteta

Većina domena tokom vremena koristi više autoriteta — na primer, AWS Certificate Manager za jednu uslugu i Let’s Encrypt za drugu. U Route 53 dodajete dodatne autoritete kao dodatne linije u Value polju istog CAA zapisa, jednu po redu:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Zajedno to znači oba ova autoriteta su dozvoljena, niko drugi. Svaki red je posebna issue stavka; ne stavljajte dva autoriteta u jedan red.

Greške koje se često prave na Route 53

• Najveća greška je blokiranje sopstvenog autoriteta. Ako dodate CAA zapis koji navodi samo digicert.com, ali vaš sertifikat se zapravo obnavlja putem Let’s Encrypt ili ACM-a, sledeće obnavljanje će tiho propasti i vaš katanac može nestati nedeljama kasnije. Uvek uključite sve autoritete koje zaista koristite pre nego što sačuvate.
• Dozvolite amazon.com za ACM. Ako vaši sertifikati dolaze od AWS Certificate Manager-a i vaš CAA zapis ne uključuje amazon.com, ACM validacija i obnavljanje će propasti. Ovo je najčešća zamka specifična za Route 53.
• Navodnici oko CA su obavezni. Route 53 očekuje 0 issue "letsencrypt.org" sa autoritetom u dvostrukim navodnicima. Izostavljanje navodnika čini zapis nevažećim.
• Ostavite naziv zapisa prazan za koren. Prazan name primenjuje zapis na apex; unos naziva domena tu ga kreira na pogrešnom mestu.
• Flags je 0 za normalan zapis. Druga vrednost, 128, je strogi režim — koristite je samo namerno.
• Koristite goli domen, ne URL. Vrednost je letsencrypt.org, nikad https://letsencrypt.org i nikad www..
• Dajte mu vremena. DNS izmene mogu stupiti na snagu za nekoliko minuta do nekoliko sati. Postojeći sertifikati nastavljaju da rade; CAA se proverava samo kada se izdaje ili obnavlja novi.

Proverite da li je uspelo

Kada sačuvate i zapis se propagira, pokrenite besplatnu proveru na ovom sajtu. Jasnin jezik će vam reći da li je vaš CAA zapis na mestu i koje ste autoritete dozvolili.

Gotovo? Proverite svoj domen besplatno da potvrdite da je uspelo — i vidite svoju potpunu ocenu kroz svih 34 provera.