Defaults.Exposed › Kurulum › CAA

Cloudflare'de CAA kaydı nasıl kurulur

Cloudflare'e bir CAA kaydı ekleyerek alan adınız için SSL sertifikası düzenlemeye yetkili sertifika otoritelerini kontrol altına alın.

Bu işletmeniz için neden önemlidir

Bir CAA kaydı, alan adınız için SSL/TLS sertifikası (tarayıcıdaki kilit simgesinin arkasındaki güven belgesi) düzenlemeye hangi sertifika otoritelerinin (CA) yetkili olduğunu belirtir. Kurallara uyan her otorite, sertifika istemeden önce bu kaydı kontrol etmek ve listede yer almıyorsa talebi reddetmek zorundadır.

Açık söylemek gerekirse: CAA kaydı olmadan dünyanın dört bir yanındaki yüzlerce sertifika otoritesinden herhangi biri, kandırılarak ya da hata yaparak alan adınız için geçerli bir sertifika verebilir — bir saldırgan bunu web sitenizi ikna edici biçimde taklit etmek için kullanabilir. CAA kaydı, yalnızca bu yetkililer, başkası değil diyerek o kapıyı kapatır. Ücretsizdir ve birkaç dakika sürer.

Cloudflare’in DNS’inizi yönettiğini doğrulayın

Bu yalnızca Cloudflare alan adınız için DNS sorgularını yanıtlıyorsa işe yarar. Cloudflare DNS sunucunuzdur; DNS yalnızca alan adınızın name server’ları pano gösterge tablonuzdaki Cloudflare name server’larına işaret ettiğinde etkindir. Cloudflare’de alan adınızı açın ve Overview sayfasını kontrol ederek Cloudflare’in etkin olduğunu onaylayın. Name server’lar başka bir yere işaret ediyorsa CAA kaydını DNS’inizi yöneten sağlayıcıda ekleyin.

Önce sertifika otoritenizi öğrenin

Herhangi bir şey eklemeden önce hangi otoritenin sertifikanızı düzenlediğini öğrenin; aksi takdirde kendi sağlayıcınızı kilitleme riskiyle karşılaşırsınız. Yaygın değerler:

• letsencrypt.org — Let’s Encrypt (ücretsiz ve otomatik sertifikaların çoğunda kullanılır)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Cloudflare’e özel bir not: Cloudflare’in kendi SSL’ini kullanıyorsanız (proxy’li turuncu bulut kurulumu), Cloudflare sizin adınıza çeşitli otoriteler aracılığıyla edge sertifikaları düzenler — ekleyeceğiniz CAA kaydının bunlara da izin verdiğinden emin olun ya da CAA yönetimini Cloudflare’e bırakın. Emin değilseniz barındırma hizmetinizi kuran kişiye sorun ya da tarayıcınızdaki sertifikayı kontrol edin (kilide tıklayın, ardından sertifikanın düzenleyicisini görüntüleyin).

Cloudflare’de adım adım

1. Cloudflare’e giriş yapın ve alan adınızı seçin.
2. Sol menüden DNS ayarlarına gidin (DNS / Records).
3. Add record düğmesine tıklayın.
4. Type kısmını CAA olarak ayarlayın.
5. Name alanına şunu girin: @ @ işareti alan adınızın kökü anlamına gelir. Cloudflare alan adını otomatik ekler; arkasına yazmayın.
6. Cloudflare, CAA alanlarını kullanıcı dostu menüler olarak gösterir. Şu şekilde ayarlayın:
   • Flags: 0
   • Tag: Only allow specific hostnames seçeneğini belirleyin (bu issue etiketidir)
   • CA domain name (değer): letsencrypt.org
7. TTL değerini Auto olarak bırakın.
8. Save düğmesine tıklayın.

Birden fazla sertifika otoritesine izin verme

Çoğu alan adı zaman içinde birden fazla otorite kullanır — örneğin bugün ücretsiz bir sertifika, ileride ücretli bir tane ya da ayrı bir hizmet için farklı biri. Birden fazlasına izin vermek için her biri için ayrı bir CAA kaydı ekleyin. Hepsinde aynı @ adı, 0 bayrak ve issue etiketi kullanılır — yalnızca CA alan adı değeri değişir:

• letsencrypt.org değeriyle bir kayıt
• digicert.com değeriyle bir kayıt

Bu ikisi birlikte bu iki otorite yetkilidir, başkası değil der. Bunları tek bir kayıtta birleştirmezsiniz.

Cloudflare’de insanların sık yaptığı hatalar

• En büyük hata kendi otoritenizi kilitlemektir. Yalnızca digicert.com’u listeleyen bir CAA kaydı ekler ama sertifikanız aslında Let’s Encrypt üzerinden yenilenirse bir sonraki yenileme sessizce başarısız olur ve kilit simgesi haftalar sonra kırılabilir. Kaydetmeden önce gerçekten kullandığınız her otoriteyi ekleyin.
• Cloudflare’in kendi SSL’ine dikkat edin. Trafiğiniz Cloudflare üzerinden geçiyorsa (turuncu bulut), Cloudflare edge sertifikaları alabilmelidir. Cloudflare’in kullandığı otoriteleri dışarıda bırakan bir CAA kaydı bunu kırabilir — şüphe durumunda Let’s Encrypt ve Google Trust Services’a (pki.goog) kendi sertifika otoritenizin yanı sıra izin verin ya da CAA’yı Cloudflare’e bırakın.
• Name @ olmalı, alan adınız değil. Kök için @ kullanın; Cloudflare alan adını kendisi ekler.
• Etiket ifadesi farklıdır. Cloudflare, issue etiketini menüsünde Only allow specific hostnames olarak etiketler. Normal kullanım için doğru seçim budur.
• Flags normal bir kayıt için 0 olmalı. Diğer değer olan 128 katı moddur — yalnızca bilerek kullanın.
• Düz alan adını kullanın, URL değil. Değer letsencrypt.org olmalıdır; https://letsencrypt.org ya da www. ile başlayan bir şey olmamalıdır.
• CAA kaydında proxy yoktur. CAA saf bir DNS kaydıdır — burada endişelenecek turuncu/gri bulut simgesi yoktur.
• Süre tanıyın. DNS değişikliklerinin yürürlüğe girmesi birkaç dakika ile birkaç saat arasında sürebilir. Mevcut sertifikalar çalışmaya devam eder; CAA yalnızca yeni bir sertifika düzenlendiğinde veya yenilendiğinde kontrol edilir.

Çalıştığını doğrulayın

Kaydedip yayıldıktan sonra bu sitedeki ücretsiz kontrolü çalıştırın. CAA kaydınızın yerinde olup olmadığını ve hangi otoritelere izin verdiğinizi sade bir dille size söyler.

Tamam mı? Alan adınızı ücretsiz kontrol edin çalıştığını onaylamak — ve 34 kontrolün tamamında tam derecenizi görmek için.