Defaults.Exposed

Defaults.Exposed › การตั้งค่า › CAA

วิธีตั้งค่า CAA record บน Cloudflare

เพิ่ม CAA record ใน Cloudflare เพื่อควบคุมว่า certificate authorities ใดบ้างที่ได้รับอนุญาตให้ออก SSL certificate สำหรับโดเมนของคุณ

เหตุใดสิ่งนี้จึงสำคัญต่อธุรกิจของคุณ

CAA record ระบุชื่อว่า certificate authorities ใดบ้าง (บริษัทที่ออก SSL/TLS certificates ที่อยู่เบื้องหลังแม่กุญแจในเบราว์เซอร์) ที่ได้รับอนุญาตให้ออก certificate สำหรับโดเมนของคุณ Authority ใดที่ปฏิบัติตามกฎต้องตรวจสอบ record นี้ก่อนและปฏิเสธคำขอหากไม่อยู่ในรายการ

พูดให้เข้าใจง่าย: หากไม่มี CAA record certificate authorities หลายร้อยรายทั่วโลกอาจถูกหลอกหรือทำผิดพลาดและมอบ certificate ที่ถูกต้องสำหรับโดเมนของคุณให้กับใครบางคน — ซึ่งผู้โจมตีสามารถใช้เพื่อแอบอ้างเว็บไซต์ของคุณได้อย่างน่าเชื่อถือ CAA record ปิดประตูนั้นโดยบอกว่า เฉพาะ authorities เหล่านี้เท่านั้น ไม่มีรายอื่น ฟรีและใช้เวลาไม่กี่นาที

ยืนยันว่า Cloudflare รัน DNS ของคุณ

สิ่งนี้จะทำงานได้ก็ต่อเมื่อ Cloudflare ตอบ DNS สำหรับโดเมนของคุณ Cloudflare คือ DNS host ของคุณ และ DNS ของมันจะมีผลเฉพาะเมื่อ nameservers ของโดเมนของคุณชี้ไปยัง Cloudflare nameservers ที่แสดงใน dashboard ของคุณ เปิดโดเมนของคุณใน Cloudflare และตรวจสอบหน้า Overview เพื่อยืนยันว่า Cloudflare ทำงานอยู่ หาก nameservers ชี้ไปที่อื่น ให้เพิ่ม CAA record ที่ผู้ให้บริการที่รัน DNS ของคุณแทน

รู้จัก certificate authority ของคุณก่อน

ก่อนเพิ่มสิ่งใด ค้นหาว่า authority ใดออก certificate ของคุณ มิฉะนั้นคุณเสี่ยงที่จะล็อคผู้ให้บริการของคุณเอง ค่าที่พบบ่อย:

หมายเหตุ Cloudflare: หากคุณใช้ SSL ของ Cloudflare เอง (การตั้งค่า orange-cloud ที่ผ่าน proxy) Cloudflare จะออก certificates ผ่าน authorities หลายรายในนามของคุณ — ดังนั้นตรวจสอบให้แน่ใจว่า CAA record ที่คุณเพิ่มยังอนุญาต authorities เหล่านั้น หรือให้ Cloudflare จัดการ CAA ให้คุณ หากไม่แน่ใจ ถามผู้ที่ตั้งค่า hosting ของคุณ หรือตรวจสอบ certificate ในเบราว์เซอร์ (คลิกแม่กุญแจ จากนั้นดู issuer ของ certificate)

ขั้นตอนบน Cloudflare

  1. ลงชื่อเข้าใช้ Cloudflare และเลือกโดเมนของคุณ
  2. ในเมนูด้านซ้าย ไปที่การตั้งค่า DNS (มองหา DNS / Records)
  3. คลิก Add record
  4. ตั้ง Type เป็น CAA
  5. ในช่อง Name ป้อน: @ @ หมายถึง root ของโดเมนของคุณ Cloudflare ต่อโดเมนให้คุณ ดังนั้นอย่าพิมพ์ชื่อโดเมนต่อท้าย
  6. Cloudflare แสดงช่อง CAA เป็นเมนูที่ใช้ง่าย ตั้งค่าดังนี้:
    • Flags: 0
    • Tag: เลือก Only allow specific hostnames (นี่คือ tag issue)
    • CA domain name (ค่า): letsencrypt.org
  7. ปล่อย TTL ไว้ที่ Auto
  8. คลิก Save

อนุญาต certificate authorities มากกว่าหนึ่งราย

โดเมนส่วนใหญ่ใช้ authority มากกว่าหนึ่งรายตลอดเวลา — เช่น certificate ฟรีในวันนี้และแบบชำระเงินภายหลัง หรือต่างรายสำหรับบริการแยกต่างหาก เพื่ออนุญาตหลายราย เพิ่ม CAA record แยกต่างหากสำหรับแต่ละราย ทั้งหมดใช้ชื่อ @ เดียวกัน flags 0 และ tag issue — เฉพาะค่า CA domain ที่เปลี่ยน:

รวมกันหมายความว่า ทั้งสอง authorities นี้ได้รับอนุญาต ไม่มีรายอื่น คุณไม่รวมพวกมันเป็น record เดียว

ข้อผิดพลาดที่มักเกิดขึ้นบน Cloudflare

ตรวจสอบว่าได้ผล

เมื่อบันทึกและแพร่กระจายแล้ว ให้ตรวจสอบฟรีบนเว็บไซต์นี้ ระบบจะบอกคุณด้วยภาษาธรรมดาว่า CAA record ของคุณอยู่ที่นั่นหรือไม่และคุณอนุญาต authorities ใดบ้าง

เสร็จแล้ว? ตรวจสอบโดเมนของคุณฟรี เพื่อยืนยันว่าใช้งานได้ — และดูคะแนนเต็มของคุณใน 34 การตรวจสอบ