Defaults.Exposed › Konfiguration › CAA

Så konfigurerar du ett CAA-record på GoDaddy

Lägg till ett CAA-record på GoDaddy och kontrollera vilka certifikatutfärdare som får utfärda SSL-certifikat för din domän.

Det här betyder för din verksamhet

Ett CAA-record anger vilka certifikatutfärdare (de företag som utfärdar SSL/TLS-certifikaten bakom hänglåset i webbläsaren) som får utfärda ett certifikat för din domän. Varje utfärdare som följer reglerna måste kontrollera detta record först och avvisa begäran om den inte finns med på listan.

Enkelt uttryckt: utan ett CAA-record kan vem som helst av hundratals certifikatutfärdare världen över bli lurad eller göra ett misstag och utfärda ett giltigt certifikat för din domän — vilket en angripare kan använda för att övertygande utge sig för att vara din webbplats. Ett CAA-record stänger den dörren genom att säga bara dessa utfärdare, ingen annan. Det är gratis och tar några minuter.

Bekräfta att GoDaddy hanterar din DNS

Det här fungerar bara om GoDaddy svarar på DNS för din domän. GoDaddy säljer domäner och erbjuder även DNS-hosting, men de två är separata — din domäns namnservrar måste peka på GoDaddy för att records du lägger till här ska vara aktiva. Logga in, öppna din domän och kontrollera att namnservrarna är GoDaddys egna. Pekar de någon annanstans, lägg till CAA-recordet hos den leverantör som hanterar din DNS i stället.

Ta reda på din certifikatutfärdare först

Innan du lägger till något, ta reda på vilken utfärdare som utfärdar ditt certifikat, annars riskerar du att låsa ute din egen leverantör. Vanliga värden:

• letsencrypt.org — Let’s Encrypt (används av de flesta gratis- och automatiserade certifikat)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Om du är osäker, fråga den som konfigurerade din hosting, eller kontrollera certifikatet i din webbläsare (klicka på hänglåset och visa certifikatets utfärdare).

Steg för steg på GoDaddy

1. Logga in på GoDaddy och öppna Domain Portfolio (eller My Products).
2. Hitta din domän och öppna dess DNS-hanteringssida (leta efter DNS eller Manage DNS).
3. Under recordlistan, klicka på Add (eller Add New Record).
4. Sätt Type till CAA.
5. I fältet Name (eller Host), ange: @ @ innebär roten på din domän. Skriv inte ditt domännamn här.
6. Sätt Flags till: 0
7. Sätt Tag till: issue
8. I fältet Value, ange din certifikatutfärdares identifierare, till exempel: letsencrypt.org
9. Lämna TTL på standardvärdet (1 timme fungerar bra).
10. Klicka på Save.

Tillåta mer än en certifikatutfärdare

De flesta domäner använder mer än en utfärdare över tid — till exempel ett gratis certifikat idag och ett betalt senare, eller ett annat för en separat tjänst. För att tillåta flera, lägg till ett separat CAA-record för var och en. De använder alla samma @-namn, 0 för flags och issue för tag — bara värdet ändras:

• ett record med värdet letsencrypt.org
• ett record med värdet digicert.com

Tillsammans säger dessa båda dessa utfärdare är tillåtna, inga andra. Du kombinerar dem inte till ett enda record.

Vanliga misstag på GoDaddy

• Det största misstaget är att låsa ute din egen utfärdare. Om du lägger till ett CAA-record som bara listar digicert.com men ditt certifikat faktiskt förnyas via Let’s Encrypt, kommer nästa förnyelse att tyst misslyckas och hänglåset kan gå sönder veckor senare. Inkludera alltid varje utfärdare du verkligen använder innan du sparar.
• Name är @, inte din domän. Att skriva ditt fullständiga domännamn i Name-fältet skapar recordet på fel plats. Använd @ för roten.
• Flags är 0 för ett vanligt record. Det andra värdet, 128, är ett strikt läge som gör att en icke-kompatibel utfärdare nekar direkt — använd det bara avsiktligt. För vanlig användning, 0.
• Använd bare domänen, inte en URL. Värdet är letsencrypt.org, aldrig https://letsencrypt.org och aldrig www..
• Lägg inte till egna citationstecken. Ange det vanliga värdet; GoDaddy hanterar eventuell citering själv.
• Ge det tid. DNS-ändringar kan ta från några minuter upp till ett par timmar att slå igenom. Befintliga certifikat fortsätter att fungera; CAA kontrolleras bara när ett nytt utfärdas eller förnyas.

Verifiera att det fungerade

När recordet är sparat och utspritt, kör den kostnadsfria kontrollen på den här webbplatsen. Den berättar på enkelt språk om ditt CAA-record är på plats och vilka utfärdare du har tillåtit.

Klart? Kontrollera din domän gratis för att bekräfta att det fungerade — och se ditt fullständiga betyg mot alla 34 kontroller.