Defaults.Exposed › Konfiguration › CAA

Så konfigurerar du ett CAA-record på Namecheap

Lägg till ett CAA-record på Namecheap och kontrollera vilka certifikatutfärdare som får utfärda SSL-certifikat för din domän.

Det här betyder för din verksamhet

Ett CAA-record anger vilka certifikatutfärdare (de företag som utfärdar SSL/TLS-certifikaten bakom hänglåset i webbläsaren) som får utfärda ett certifikat för din domän. Varje utfärdare som följer reglerna måste kontrollera detta record först och avvisa begäran om den inte finns med på listan.

Enkelt uttryckt: utan ett CAA-record kan vem som helst av hundratals certifikatutfärdare världen över bli lurad eller göra ett misstag och utfärda ett giltigt certifikat för din domän — vilket en angripare kan använda för att övertygande utge sig för att vara din webbplats. Ett CAA-record stänger den dörren genom att säga bara dessa utfärdare, ingen annan. Det är gratis och tar några minuter.

Bekräfta att Namecheap hanterar din DNS

Det här fungerar bara om Namecheap svarar på DNS för din domän. Records nedan läggs till i Advanced DNS, vilket bara är aktivt när din domän använder Namecheap BasicDNS (eller PremiumDNS). Logga in, öppna Domain List, klicka på Manage för din domän och kontrollera att namnservrarna är inställda på Namecheap. Pekar dina namnservrar någon annanstans, lägg till CAA-recordet hos den leverantör som hanterar din DNS i stället.

Ta reda på din certifikatutfärdare först

Innan du lägger till något, ta reda på vilken utfärdare som utfärdar ditt certifikat, annars riskerar du att låsa ute din egen leverantör. Vanliga värden:

• letsencrypt.org — Let’s Encrypt (används av de flesta gratis- och automatiserade certifikat)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Om du är osäker, fråga den som konfigurerade din hosting, eller kontrollera certifikatet i din webbläsare (klicka på hänglåset och visa certifikatets utfärdare).

Steg för steg på Namecheap

1. Logga in på Namecheap och öppna Domain List.
2. Klicka på Manage bredvid din domän.
3. Öppna fliken Advanced DNS.
4. Under Host Records, klicka på Add New Record.
5. Sätt recordets Type till CAA Record.
6. I fältet Host, ange: @ @ innebär roten på din domän. Skriv inte ditt domännamn här.
7. I fältet Flag, ange: 0
8. I fältet Tag, välj: issue
9. I fältet Value (CA domain), ange din certifikatutfärdares identifierare, till exempel: letsencrypt.org
10. Lämna TTL på Automatic.
11. Klicka på den gröna bocken för att spara, sedan Save All Changes om du uppmanas.

Tillåta mer än en certifikatutfärdare

De flesta domäner använder mer än en utfärdare över tid — till exempel ett gratis certifikat idag och ett betalt senare, eller ett annat för en separat tjänst. För att tillåta flera, lägg till ett separat CAA-record för var och en. De använder alla samma @-host, 0 för flag och issue för tag — bara värdet ändras:

• ett record med värdet letsencrypt.org
• ett record med värdet digicert.com

Tillsammans säger dessa båda dessa utfärdare är tillåtna, inga andra. Du kombinerar dem inte till ett enda record.

Vanliga misstag på Namecheap

• Det största misstaget är att låsa ute din egen utfärdare. Om du lägger till ett CAA-record som bara listar digicert.com men ditt certifikat faktiskt förnyas via Let’s Encrypt, kommer nästa förnyelse att tyst misslyckas och hänglåset kan gå sönder veckor senare. Inkludera alltid varje utfärdare du verkligen använder innan du sparar.
• Host är @, inte din domän. Att skriva ditt fullständiga domännamn i Host-fältet skapar recordet på fel plats. Använd @ för roten.
• Flag är 0 för ett vanligt record. Det andra värdet, 128, är ett strikt läge som gör att en icke-kompatibel utfärdare nekar direkt — använd det bara avsiktligt. För vanlig användning, 0.
• Använd bare domänen, inte en URL. Värdet är letsencrypt.org, aldrig https://letsencrypt.org och aldrig www..
• Välj CAA-typen, inte TXT. Namecheap har en dedikerad CAA Record-typ — använd den i stället för att försöka skriva in ett CAA-record i ett TXT-record för hand.
• Ge det tid. DNS-ändringar kan ta från några minuter upp till ett par timmar att slå igenom. Befintliga certifikat fortsätter att fungera; CAA kontrolleras bara när ett nytt utfärdas eller förnyas.

Verifiera att det fungerade

När recordet är sparat och utspritt, kör den kostnadsfria kontrollen på den här webbplatsen. Den berättar på enkelt språk om ditt CAA-record är på plats och vilka utfärdare du har tillåtit.

Klart? Kontrollera din domän gratis för att bekräfta att det fungerade — och se ditt fullständiga betyg mot alla 34 kontroller.