Defaults.Exposed › การตั้งค่า › CAA
วิธีตั้งค่า CAA record บน GoDaddy
เพิ่ม CAA record ใน GoDaddy เพื่อควบคุมว่า certificate authorities ใดบ้างที่ได้รับอนุญาตให้ออก SSL certificate สำหรับโดเมนของคุณ
เหตุใดสิ่งนี้จึงสำคัญต่อธุรกิจของคุณ
CAA record ระบุชื่อว่า certificate authorities ใดบ้าง (บริษัทที่ออก SSL/TLS certificates ที่อยู่เบื้องหลังแม่กุญแจในเบราว์เซอร์) ที่ได้รับอนุญาตให้ออก certificate สำหรับโดเมนของคุณ Authority ใดที่ปฏิบัติตามกฎต้องตรวจสอบ record นี้ก่อนและปฏิเสธคำขอหากไม่อยู่ในรายการ
พูดให้เข้าใจง่าย: หากไม่มี CAA record certificate authorities หลายร้อยรายทั่วโลกอาจถูกหลอกหรือทำผิดพลาดและมอบ certificate ที่ถูกต้องสำหรับโดเมนของคุณให้กับใครบางคน — ซึ่งผู้โจมตีสามารถใช้เพื่อแอบอ้างเว็บไซต์ของคุณได้อย่างน่าเชื่อถือ CAA record ปิดประตูนั้นโดยบอกว่า เฉพาะ authorities เหล่านี้เท่านั้น ไม่มีรายอื่น ฟรีและใช้เวลาไม่กี่นาที
ยืนยันว่า GoDaddy รัน DNS ของคุณ
สิ่งนี้จะทำงานได้ก็ต่อเมื่อ GoDaddy ตอบ DNS สำหรับโดเมนของคุณ GoDaddy ขายโดเมนและยังโฮสต์ DNS แต่ทั้งสองเป็นสิ่งที่แยกกัน — nameservers ของโดเมนของคุณต้องชี้ที่ GoDaddy เพื่อให้ records ที่คุณเพิ่มที่นี่มีผล ลงชื่อเข้าใช้ เปิดโดเมนของคุณ และตรวจสอบว่า nameservers เป็นของ GoDaddy เอง หากชี้ไปที่อื่น ให้เพิ่ม CAA record ที่ผู้ให้บริการที่รัน DNS ของคุณแทน
รู้จัก certificate authority ของคุณก่อน
ก่อนเพิ่มสิ่งใด ค้นหาว่า authority ใดออก certificate ของคุณ มิฉะนั้นคุณเสี่ยงที่จะล็อคผู้ให้บริการของคุณเอง ค่าที่พบบ่อย:
letsencrypt.org— Let’s Encrypt (ใช้โดย certificates ฟรีและอัตโนมัติส่วนใหญ่)digicert.com— DigiCertsectigo.com— Sectigoglobalsign.com— GlobalSignpki.goog— Google Trust Servicesamazon.com— Amazon (AWS Certificate Manager)
หากคุณไม่แน่ใจ ถามผู้ที่ตั้งค่า hosting ของคุณ หรือตรวจสอบ certificate ในเบราว์เซอร์ (คลิกแม่กุญแจ จากนั้นดู issuer ของ certificate)
ขั้นตอนบน GoDaddy
- ลงชื่อเข้าใช้ GoDaddy และเปิด Domain Portfolio (หรือ My Products)
- ค้นหาโดเมนของคุณและเปิดหน้าจัดการ DNS (มองหา DNS หรือ Manage DNS)
- ใต้รายการ records คลิก Add (หรือ Add New Record)
- ตั้ง Type เป็น CAA
- ในช่อง Name (หรือ Host) ป้อน:
@@หมายถึง root ของโดเมนของคุณ อย่าพิมพ์ชื่อโดเมนที่นี่ - ตั้ง Flags เป็น:
0 - ตั้ง Tag เป็น:
issue - ในช่อง Value ป้อน identifier ของ certificate authority ของคุณ เช่น:
letsencrypt.org - ปล่อย TTL ไว้ที่ค่าเริ่มต้น (1 ชั่วโมงก็ดี)
- คลิก Save
อนุญาต certificate authorities มากกว่าหนึ่งราย
โดเมนส่วนใหญ่ใช้ authority มากกว่าหนึ่งรายตลอดเวลา — เช่น certificate ฟรีในวันนี้และแบบชำระเงินภายหลัง หรือต่างรายสำหรับบริการแยกต่างหาก เพื่ออนุญาตหลายราย เพิ่ม CAA record แยกต่างหากสำหรับแต่ละราย ทั้งหมดใช้ชื่อ @ เดียวกัน flags 0 และ tag issue — เฉพาะค่าที่เปลี่ยน:
- record หนึ่งรายการที่มีค่า
letsencrypt.org - record หนึ่งรายการที่มีค่า
digicert.com
รวมกันหมายความว่า ทั้งสอง authorities นี้ได้รับอนุญาต ไม่มีรายอื่น คุณไม่รวมพวกมันเป็น record เดียว
ข้อผิดพลาดที่มักเกิดขึ้นบน GoDaddy
- ข้อผิดพลาดที่ใหญ่ที่สุดคือการล็อค authority ของคุณเอง หากคุณเพิ่ม CAA record ที่แสดงรายการเฉพาะ
digicert.comแต่ certificate ของคุณต่ออายุผ่าน Let’s Encrypt จริง ๆ การต่ออายุครั้งต่อไปจะล้มเหลวอย่างเงียบ ๆ และแม่กุญแจของคุณอาจพังในสองสามสัปดาห์ต่อมา ใส่ทุก authority ที่คุณใช้จริงก่อนบันทึกเสมอ - Name คือ
@ไม่ใช่โดเมนของคุณ การพิมพ์ชื่อโดเมนเต็มในช่อง Name จะสร้าง record ในที่ผิด ใช้@สำหรับ root - Flags คือ
0สำหรับ record ปกติ ค่าอื่น128เป็น strict mode ที่ทำให้ authority ที่ไม่สอดคล้องปฏิเสธโดยตรง — ใช้โดยตั้งใจเท่านั้น สำหรับการใช้งานทั่วไป0 - ใช้โดเมนเปล่า ไม่ใช่ URL ค่าคือ
letsencrypt.orgไม่ใช่https://letsencrypt.orgและไม่ใช่www. - อย่าเพิ่มเครื่องหมายอัญประกาศเอง ป้อนค่าธรรมดา GoDaddy จัดการการครอบเอง
- ให้เวลามัน การเปลี่ยนแปลง DNS อาจใช้เวลาสองสามนาทีถึงสองสามชั่วโมงในการมีผล Certificates ที่มีอยู่ยังคงทำงาน CAA จะถูกตรวจสอบเฉพาะเมื่อมีการออกหรือต่ออายุรายการใหม่เท่านั้น
ตรวจสอบว่าได้ผล
เมื่อบันทึกและแพร่กระจายแล้ว ให้ตรวจสอบฟรีบนเว็บไซต์นี้ ระบบจะบอกคุณด้วยภาษาธรรมดาว่า CAA record ของคุณอยู่ที่นั่นหรือไม่และคุณอนุญาต authorities ใดบ้าง
เสร็จแล้ว? ตรวจสอบโดเมนของคุณฟรี เพื่อยืนยันว่าใช้งานได้ — และดูคะแนนเต็มของคุณใน 34 การตรวจสอบ