Defaults.Exposed › การตั้งค่า › CAA
วิธีตั้งค่า CAA record บน Namecheap
เพิ่ม CAA record ใน Namecheap เพื่อควบคุมว่า certificate authorities ใดบ้างที่ได้รับอนุญาตให้ออก SSL certificate สำหรับโดเมนของคุณ
เหตุใดสิ่งนี้จึงสำคัญต่อธุรกิจของคุณ
CAA record ระบุชื่อว่า certificate authorities ใดบ้าง (บริษัทที่ออก SSL/TLS certificates ที่อยู่เบื้องหลังแม่กุญแจในเบราว์เซอร์) ที่ได้รับอนุญาตให้ออก certificate สำหรับโดเมนของคุณ Authority ใดที่ปฏิบัติตามกฎต้องตรวจสอบ record นี้ก่อนและปฏิเสธคำขอหากไม่อยู่ในรายการ
พูดให้เข้าใจง่าย: หากไม่มี CAA record certificate authorities หลายร้อยรายทั่วโลกอาจถูกหลอกหรือทำผิดพลาดและมอบ certificate ที่ถูกต้องสำหรับโดเมนของคุณให้กับใครบางคน — ซึ่งผู้โจมตีสามารถใช้เพื่อแอบอ้างเว็บไซต์ของคุณได้อย่างน่าเชื่อถือ CAA record ปิดประตูนั้นโดยบอกว่า เฉพาะ authorities เหล่านี้เท่านั้น ไม่มีรายอื่น ฟรีและใช้เวลาไม่กี่นาที
ยืนยันว่า Namecheap รัน DNS ของคุณ
สิ่งนี้จะทำงานได้ก็ต่อเมื่อ Namecheap ตอบ DNS สำหรับโดเมนของคุณ Records ด้านล่างอยู่ใน Advanced DNS ซึ่งจะมีผลเฉพาะเมื่อโดเมนของคุณใช้ Namecheap BasicDNS (หรือ PremiumDNS) ลงชื่อเข้าใช้ เปิด Domain List คลิก Manage บนโดเมนของคุณ และตรวจสอบว่า nameservers ถูกตั้งเป็น Namecheap หาก nameservers ชี้ไปที่อื่น ให้เพิ่ม CAA record ที่ผู้ให้บริการที่รัน DNS ของคุณแทน
รู้จัก certificate authority ของคุณก่อน
ก่อนเพิ่มสิ่งใด ค้นหาว่า authority ใดออก certificate ของคุณ มิฉะนั้นคุณเสี่ยงที่จะล็อคผู้ให้บริการของคุณเอง ค่าที่พบบ่อย:
letsencrypt.org— Let’s Encrypt (ใช้โดย certificates ฟรีและอัตโนมัติส่วนใหญ่)digicert.com— DigiCertsectigo.com— Sectigoglobalsign.com— GlobalSignpki.goog— Google Trust Servicesamazon.com— Amazon (AWS Certificate Manager)
หากคุณไม่แน่ใจ ถามผู้ที่ตั้งค่า hosting ของคุณ หรือตรวจสอบ certificate ในเบราว์เซอร์ (คลิกแม่กุญแจ จากนั้นดู issuer ของ certificate)
ขั้นตอนบน Namecheap
- ลงชื่อเข้าใช้ Namecheap และเปิด Domain List
- คลิก Manage ข้างโดเมนของคุณ
- เปิดแท็บ Advanced DNS
- ใต้ Host Records คลิก Add New Record
- ตั้ง Type ของ record เป็น CAA Record
- ในช่อง Host ป้อน:
@@หมายถึง root ของโดเมนของคุณ อย่าพิมพ์ชื่อโดเมนที่นี่ - ในช่อง Flag ป้อน:
0 - ในช่อง Tag เลือก:
issue - ในช่อง Value (CA domain) ป้อน identifier ของ certificate authority ของคุณ เช่น:
letsencrypt.org - ปล่อย TTL ไว้ที่ Automatic
- คลิกเครื่องหมายถูกสีเขียวเพื่อบันทึก จากนั้น Save All Changes หากมีการแจ้ง
อนุญาต certificate authorities มากกว่าหนึ่งราย
โดเมนส่วนใหญ่ใช้ authority มากกว่าหนึ่งรายตลอดเวลา — เช่น certificate ฟรีในวันนี้และแบบชำระเงินภายหลัง หรือต่างรายสำหรับบริการแยกต่างหาก เพื่ออนุญาตหลายราย เพิ่ม CAA record แยกต่างหากสำหรับแต่ละราย ทั้งหมดใช้ host @ เดียวกัน flag 0 และ tag issue — เฉพาะค่าที่เปลี่ยน:
- record หนึ่งรายการที่มีค่า
letsencrypt.org - record หนึ่งรายการที่มีค่า
digicert.com
รวมกันหมายความว่า ทั้งสอง authorities นี้ได้รับอนุญาต ไม่มีรายอื่น คุณไม่รวมพวกมันเป็น record เดียว
ข้อผิดพลาดที่มักเกิดขึ้นบน Namecheap
- ข้อผิดพลาดที่ใหญ่ที่สุดคือการล็อค authority ของคุณเอง หากคุณเพิ่ม CAA record ที่แสดงรายการเฉพาะ
digicert.comแต่ certificate ของคุณต่ออายุผ่าน Let’s Encrypt จริง ๆ การต่ออายุครั้งต่อไปจะล้มเหลวอย่างเงียบ ๆ และแม่กุญแจของคุณอาจพังในสองสามสัปดาห์ต่อมา ใส่ทุก authority ที่คุณใช้จริงก่อนบันทึกเสมอ - Host คือ
@ไม่ใช่โดเมนของคุณ การพิมพ์ชื่อโดเมนเต็มในช่อง Host จะสร้าง record ในที่ผิด ใช้@สำหรับ root - Flag คือ
0สำหรับ record ปกติ ค่าอื่น128เป็น strict mode ที่ทำให้ authority ที่ไม่สอดคล้องปฏิเสธโดยตรง — ใช้โดยตั้งใจเท่านั้น สำหรับการใช้งานทั่วไป0 - ใช้โดเมนเปล่า ไม่ใช่ URL ค่าคือ
letsencrypt.orgไม่ใช่https://letsencrypt.orgและไม่ใช่www. - เลือกประเภท CAA ไม่ใช่ TXT Namecheap มีประเภท CAA Record เฉพาะ — ใช้มันแทนที่จะพยายามเขียน CAA ลงใน TXT record ด้วยมือ
- ให้เวลามัน การเปลี่ยนแปลง DNS อาจใช้เวลาสองสามนาทีถึงสองสามชั่วโมงในการมีผล Certificates ที่มีอยู่ยังคงทำงาน CAA จะถูกตรวจสอบเฉพาะเมื่อมีการออกหรือต่ออายุรายการใหม่เท่านั้น
ตรวจสอบว่าได้ผล
เมื่อบันทึกและแพร่กระจายแล้ว ให้ตรวจสอบฟรีบนเว็บไซต์นี้ ระบบจะบอกคุณด้วยภาษาธรรมดาว่า CAA record ของคุณอยู่ที่นั่นหรือไม่และคุณอนุญาต authorities ใดบ้าง
เสร็จแล้ว? ตรวจสอบโดเมนของคุณฟรี เพื่อยืนยันว่าใช้งานได้ — และดูคะแนนเต็มของคุณใน 34 การตรวจสอบ