Defaults.Exposed

Defaults.Exposed › การตั้งค่า › CAA

วิธีตั้งค่า CAA record บน AWS Route 53

เพิ่ม CAA record ใน AWS Route 53 เพื่อควบคุมว่า certificate authorities ใดบ้างที่ได้รับอนุญาตให้ออก SSL certificate สำหรับโดเมนของคุณ

เหตุใดสิ่งนี้จึงสำคัญต่อธุรกิจของคุณ

CAA record ระบุชื่อว่า certificate authorities ใดบ้าง (บริษัทที่ออก SSL/TLS certificates ที่อยู่เบื้องหลังแม่กุญแจในเบราว์เซอร์) ที่ได้รับอนุญาตให้ออก certificate สำหรับโดเมนของคุณ Authority ใดที่ปฏิบัติตามกฎต้องตรวจสอบ record นี้ก่อนและปฏิเสธคำขอหากไม่อยู่ในรายการ

พูดให้เข้าใจง่าย: หากไม่มี CAA record certificate authorities หลายร้อยรายทั่วโลกอาจถูกหลอกหรือทำผิดพลาดและมอบ certificate ที่ถูกต้องสำหรับโดเมนของคุณให้กับใครบางคน — ซึ่งผู้โจมตีสามารถใช้เพื่อแอบอ้างเว็บไซต์ของคุณได้อย่างน่าเชื่อถือ CAA record ปิดประตูนั้นโดยบอกว่า เฉพาะ authorities เหล่านี้เท่านั้น ไม่มีรายอื่น ฟรีและใช้เวลาไม่กี่นาที

ยืนยันว่า Route 53 รัน DNS ของคุณ

สิ่งนี้จะทำงานได้ก็ต่อเมื่อ Route 53 ตอบ DNS สำหรับโดเมนของคุณ ใน Route 53 records ของคุณอยู่ใน hosted zone สำหรับโดเมน และ zone นั้นจะมีผลเฉพาะเมื่อ nameservers ของโดเมนของคุณชี้ไปยัง Route 53 nameservers สี่รายการที่แสดงใน zone เปิด hosted zone ตรวจสอบ NS record ของมัน และยืนยันว่า nameservers เหล่านั้นถูกตั้งที่ registrar ของคุณ หาก nameservers ชี้ไปที่อื่น ให้เพิ่ม CAA record ที่ผู้ให้บริการที่รัน DNS ของคุณแทน

รู้จัก certificate authority ของคุณก่อน

ก่อนเพิ่มสิ่งใด ค้นหาว่า authority ใดออก certificate ของคุณ มิฉะนั้นคุณเสี่ยงที่จะล็อคผู้ให้บริการของคุณเอง ค่าที่พบบ่อย:

หากคุณใช้ AWS Certificate Manager ในการจัดสรร certificates คุณต้องอนุญาต amazon.com มิฉะนั้น ACM จะไม่สามารถออกได้ หากไม่แน่ใจ ถามผู้ที่ตั้งค่า hosting ของคุณ หรือตรวจสอบ certificate ในเบราว์เซอร์ (คลิกแม่กุญแจ จากนั้นดู issuer ของ certificate)

ขั้นตอนบน Route 53

  1. ลงชื่อเข้าใช้ AWS Management Console และเปิด Route 53
  2. ในเมนูด้านซ้าย เลือก Hosted zones จากนั้นเลือกโดเมนของคุณ
  3. คลิก Create record
  4. ปล่อยช่อง Record name ว่างเพื่อใช้ record กับ root ของโดเมนของคุณ (apex) อย่าพิมพ์ชื่อโดเมนที่นี่
  5. ตั้ง Record type เป็น CAA
  6. ในช่อง Value ป้อน record ในรูปแบบสามส่วนของ Route 53 บนบรรทัดเดียว: 0 issue "letsencrypt.org" นั่นคือ flags (0) จากนั้น tag (issue) จากนั้น certificate authority ในเครื่องหมายอัญประกาศคู่
  7. ปล่อย TTL ไว้ที่ค่าเริ่มต้น (300 วินาทีก็ดี)
  8. เลือก Simple routing หากถูกถาม จากนั้นคลิก Create records

อนุญาต certificate authorities มากกว่าหนึ่งราย

โดเมนส่วนใหญ่ใช้ authority มากกว่าหนึ่งรายตลอดเวลา — เช่น AWS Certificate Manager สำหรับบริการหนึ่งและ Let’s Encrypt สำหรับอีกบริการ ใน Route 53 คุณเพิ่ม authorities เพิ่มเติมเป็น บรรทัดเพิ่มเติมใน Value box ของ CAA record เดียวกัน หนึ่งบรรทัดต่อ authorities หนึ่งราย:

0 issue "amazon.com"
0 issue "letsencrypt.org"

รวมกันหมายความว่า ทั้งสอง authorities นี้ได้รับอนุญาต ไม่มีรายอื่น แต่ละบรรทัดเป็น issue entry แยกต่างหาก คุณไม่ใส่สอง authorities ในบรรทัดเดียว

ข้อผิดพลาดที่มักเกิดขึ้นบน Route 53

ตรวจสอบว่าได้ผล

เมื่อบันทึกและแพร่กระจายแล้ว ให้ตรวจสอบฟรีบนเว็บไซต์นี้ ระบบจะบอกคุณด้วยภาษาธรรมดาว่า CAA record ของคุณอยู่ที่นั่นหรือไม่และคุณอนุญาต authorities ใดบ้าง

เสร็จแล้ว? ตรวจสอบโดเมนของคุณฟรี เพื่อยืนยันว่าใช้งานได้ — และดูคะแนนเต็มของคุณใน 34 การตรวจสอบ