Defaults.Exposed › Konfiguration › CAA

Så konfigurerar du ett CAA-record på AWS Route 53

Lägg till ett CAA-record i AWS Route 53 och kontrollera vilka certifikatutfärdare som får utfärda SSL-certifikat för din domän.

Det här betyder för din verksamhet

Ett CAA-record anger vilka certifikatutfärdare (de företag som utfärdar SSL/TLS-certifikaten bakom hänglåset i webbläsaren) som får utfärda ett certifikat för din domän. Varje utfärdare som följer reglerna måste kontrollera detta record först och avvisa begäran om den inte finns med på listan.

Enkelt uttryckt: utan ett CAA-record kan vem som helst av hundratals certifikatutfärdare världen över bli lurad eller göra ett misstag och utfärda ett giltigt certifikat för din domän — vilket en angripare kan använda för att övertygande utge sig för att vara din webbplats. Ett CAA-record stänger den dörren genom att säga bara dessa utfärdare, ingen annan. Det är gratis och tar några minuter.

Bekräfta att Route 53 hanterar din DNS

Det här fungerar bara om Route 53 svarar på DNS för din domän. I Route 53 finns dina records i en hosted zone för domänen, och den zonen är bara aktiv när din domäns namnservrar pekar på de fyra Route 53-namnservrar som anges i zonen. Öppna hosted zone:n, kontrollera dess NS-record och bekräfta att dessa namnservrar är inställda hos din registrar. Pekar dina namnservrar någon annanstans, lägg till CAA-recordet hos den leverantör som hanterar din DNS i stället.

Ta reda på din certifikatutfärdare först

Innan du lägger till något, ta reda på vilken utfärdare som utfärdar ditt certifikat, annars riskerar du att låsa ute din egen leverantör. Vanliga värden:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (används av de flesta gratis- och automatiserade certifikat)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Om du använder AWS Certificate Manager för att tillhandahålla certifikat måste du tillåta amazon.com, annars kan ACM inte utfärda. Om du är osäker, fråga den som konfigurerade din hosting, eller kontrollera certifikatet i din webbläsare (klicka på hänglåset och visa certifikatets utfärdare).

Steg för steg på Route 53

1. Logga in på AWS Management Console och öppna Route 53.
2. I menyn till vänster, välj Hosted zones och välj sedan din domän.
3. Klicka på Create record.
4. Lämna fältet Record name tomt för att tillämpa recordet på roten av din domän (apex). Skriv inte ditt domännamn här.
5. Sätt Record type till CAA.
6. I rutan Value, ange recordet i Route 53:s tredelade format på en rad: 0 issue "letsencrypt.org" Det är flags (0), sedan tag (issue), sedan certifikatutfärdaren i dubbla citationstecken.
7. Lämna TTL på standardvärdet (300 sekunder fungerar bra).
8. Välj Simple routing om du tillfrågas, klicka sedan på Create records.

Tillåta mer än en certifikatutfärdare

De flesta domäner använder mer än en utfärdare över tid — till exempel AWS Certificate Manager för en tjänst och Let’s Encrypt för en annan. I Route 53 lägger du till de extra utfärdarna som ytterligare rader i samma CAA-records värderuta, en per rad:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Tillsammans säger dessa båda dessa utfärdare är tillåtna, inga andra. Varje rad är en separat issue-post; du skriver inte två utfärdare på en rad.

Vanliga misstag på Route 53

• Det största misstaget är att låsa ute din egen utfärdare. Om du lägger till ett CAA-record som bara listar digicert.com men ditt certifikat faktiskt förnyas via Let’s Encrypt eller ACM, kommer nästa förnyelse att tyst misslyckas och hänglåset kan gå sönder veckor senare. Inkludera alltid varje utfärdare du verkligen använder innan du sparar.
• Tillåt amazon.com för ACM. Om dina certifikat kommer från AWS Certificate Manager och ditt CAA-record inte inkluderar amazon.com, kommer ACM-validering och förnyelse att misslyckas. Det här är det vanligaste Route 53-specifika misstaget.
• Citationstecknen runt CA:n är obligatoriska. Route 53 förväntar sig 0 issue "letsencrypt.org" med utfärdaren i dubbla citationstecken. Att utelämna dem gör recordet ogiltigt.
• Lämna recordnamnet tomt för roten. Ett tomt namn tillämpar recordet på apex:en; att skriva domännamnet där skapar det på fel plats.
• Flags är 0 för ett vanligt record. Det andra värdet, 128, är ett strikt läge — använd det bara avsiktligt.
• Använd bare domänen, inte en URL. Värdet är letsencrypt.org, aldrig https://letsencrypt.org och aldrig www..
• Ge det tid. DNS-ändringar kan ta från några minuter upp till ett par timmar att slå igenom. Befintliga certifikat fortsätter att fungera; CAA kontrolleras bara när ett nytt utfärdas eller förnyas.

Verifiera att det fungerade

När recordet är sparat och utspritt, kör den kostnadsfria kontrollen på den här webbplatsen. Den berättar på enkelt språk om ditt CAA-record är på plats och vilka utfärdare du har tillåtit.

Klart? Kontrollera din domän gratis för att bekräfta att det fungerade — och se ditt fullständiga betyg mot alla 34 kontroller.