Defaults.Exposed › Konfiguration › CAA

Så konfigurerar du ett CAA-record på Cloudflare

Lägg till ett CAA-record på Cloudflare och kontrollera vilka certifikatutfärdare som får utfärda SSL-certifikat för din domän.

Det här betyder för din verksamhet

Ett CAA-record anger vilka certifikatutfärdare (de företag som utfärdar SSL/TLS-certifikaten bakom hänglåset i webbläsaren) som får utfärda ett certifikat för din domän. Varje utfärdare som följer reglerna måste kontrollera detta record först och avvisa begäran om den inte finns med på listan.

Enkelt uttryckt: utan ett CAA-record kan vem som helst av hundratals certifikatutfärdare världen över bli lurad eller göra ett misstag och utfärda ett giltigt certifikat för din domän — vilket en angripare kan använda för att övertygande utge sig för att vara din webbplats. Ett CAA-record stänger den dörren genom att säga bara dessa utfärdare, ingen annan. Det är gratis och tar några minuter.

Bekräfta att Cloudflare hanterar din DNS

Det här fungerar bara om Cloudflare svarar på DNS för din domän. Cloudflare är din DNS-host, och Cloudflares DNS är bara aktiv när din domäns namnservrar pekar på Cloudflares namnservrar som visas i din instrumentpanel. Öppna din domän i Cloudflare och kontrollera sidan Overview för att bekräfta att Cloudflare är aktivt. Pekar dina namnservrar någon annanstans, lägg till CAA-recordet hos den leverantör som hanterar din DNS i stället.

Ta reda på din certifikatutfärdare först

Innan du lägger till något, ta reda på vilken utfärdare som utfärdar ditt certifikat, annars riskerar du att låsa ute din egen leverantör. Vanliga värden:

• letsencrypt.org — Let’s Encrypt (används av de flesta gratis- och automatiserade certifikat)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

En notering om Cloudflare: om du använder Cloudflares egna SSL (proxykonfigurationen med orange moln), utfärdar Cloudflare certifikat via flera utfärdare å dina vägnar — se till att eventuellt CAA-record du lägger till fortfarande tillåter dessa, eller låt Cloudflare hantera CAA åt dig. Om du är osäker, fråga den som konfigurerade din hosting, eller kontrollera certifikatet i din webbläsare (klicka på hänglåset och visa certifikatets utfärdare).

Steg för steg på Cloudflare

1. Logga in på Cloudflare och välj din domän.
2. I menyn till vänster, gå till dina DNS-inställningar (leta efter DNS / Records).
3. Klicka på Add record.
4. Sätt Type till CAA.
5. I fältet Name, ange: @ @ innebär roten på din domän. Cloudflare lägger till domänen automatiskt, så skriv inte ditt domännamn efter det.
6. Cloudflare visar CAA-fälten som lättanvända menyer. Ställ in dem så här:
   • Flags: 0
   • Tag: välj Only allow specific hostnames (detta är issue-taggen)
   • CA domain name (värdet): letsencrypt.org
7. Lämna TTL på Auto.
8. Klicka på Save.

Tillåta mer än en certifikatutfärdare

De flesta domäner använder mer än en utfärdare över tid — till exempel ett gratis certifikat idag och ett betalt senare, eller ett annat för en separat tjänst. För att tillåta flera, lägg till ett separat CAA-record för var och en. De använder alla samma @-namn, 0 för flags och issue för tag — bara CA-domänvärdet ändras:

• ett record med värdet letsencrypt.org
• ett record med värdet digicert.com

Tillsammans säger dessa båda dessa utfärdare är tillåtna, inga andra. Du kombinerar dem inte till ett enda record.

Vanliga misstag på Cloudflare

• Det största misstaget är att låsa ute din egen utfärdare. Om du lägger till ett CAA-record som bara listar digicert.com men ditt certifikat faktiskt förnyas via Let’s Encrypt, kommer nästa förnyelse att tyst misslyckas och hänglåset kan gå sönder veckor senare. Inkludera alltid varje utfärdare du verkligen använder innan du sparar.
• Var uppmärksam på Cloudflares egna SSL. Om din trafik går via Cloudflare (orange moln) behöver Cloudflare kunna hämta edge-certifikat. Att lägga till ett CAA-record som utesluter de utfärdare Cloudflare använder kan bryta det — när du är osäker, tillåt Let’s Encrypt och Google Trust Services (pki.goog) tillsammans med dina egna, eller låt Cloudflare hantera CAA.
• Name är @, inte din domän. Använd @ för roten; Cloudflare lägger till domänen själv.
• Taggtexten skiljer sig. Cloudflare märker issue-taggen som Only allow specific hostnames i sin meny. Det är det rätta valet för normal användning.
• Flags är 0 för ett vanligt record. Det andra värdet, 128, är ett strikt läge — använd det bara avsiktligt.
• Använd bare domänen, inte en URL. Värdet är letsencrypt.org, aldrig https://letsencrypt.org och aldrig www..
• Ingen proxy på ett CAA-record. CAA är ett rent DNS-record — det finns ingen orange/grå molnväxlare att oroa sig för här.
• Ge det tid. DNS-ändringar kan ta från några minuter upp till ett par timmar att slå igenom. Befintliga certifikat fortsätter att fungera; CAA kontrolleras bara när ett nytt utfärdas eller förnyas.

Verifiera att det fungerade

När recordet är sparat och utspritt, kör den kostnadsfria kontrollen på den här webbplatsen. Den berättar på enkelt språk om ditt CAA-record är på plats och vilka utfärdare du har tillåtit.

Klart? Kontrollera din domän gratis för att bekräfta att det fungerade — och se ditt fullständiga betyg mot alla 34 kontroller.