Defaults.Exposed › Kurulum › CAA

AWS Route 53'te CAA kaydı nasıl kurulur

AWS Route 53'e bir CAA kaydı ekleyerek alan adınız için SSL sertifikası düzenlemeye yetkili sertifika otoritelerini kontrol altına alın.

Bu işletmeniz için neden önemlidir

Bir CAA kaydı, alan adınız için SSL/TLS sertifikası (tarayıcıdaki kilit simgesinin arkasındaki güven belgesi) düzenlemeye hangi sertifika otoritelerinin (CA) yetkili olduğunu belirtir. Kurallara uyan her otorite, sertifika istemeden önce bu kaydı kontrol etmek ve listede yer almıyorsa talebi reddetmek zorundadır.

Açık söylemek gerekirse: CAA kaydı olmadan dünyanın dört bir yanındaki yüzlerce sertifika otoritesinden herhangi biri, kandırılarak ya da hata yaparak alan adınız için geçerli bir sertifika verebilir — bir saldırgan bunu web sitenizi ikna edici biçimde taklit etmek için kullanabilir. CAA kaydı, yalnızca bu yetkililer, başkası değil diyerek o kapıyı kapatır. Ücretsizdir ve birkaç dakika sürer.

Route 53’ün DNS’inizi yönettiğini doğrulayın

Bu yalnızca Route 53 alan adınız için DNS sorgularını yanıtlıyorsa işe yarar. Route 53’te kayıtlarınız bir barındırma bölgesinde bulunur ve bu bölge yalnızca alan adınızın name server’ları bölgede listelenen dört Route 53 name server’ına işaret ettiğinde etkindir. Barındırma bölgesini açın, NS kaydını kontrol edin ve bu name server’ların kayıt şirketinizde ayarlandığını doğrulayın. Name server’larınız başka bir yere işaret ediyorsa CAA kaydını DNS’inizi yöneten sağlayıcıda ekleyin.

Önce sertifika otoritenizi öğrenin

Herhangi bir şey eklemeden önce hangi otoritenin sertifikanızı düzenlediğini öğrenin; aksi takdirde kendi sağlayıcınızı kilitleme riskiyle karşılaşırsınız. Yaygın değerler:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (ücretsiz ve otomatik sertifikaların çoğunda kullanılır)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Sertifikaları AWS Certificate Manager ile düzenletiyorsanız amazon.com’a izin vermeniz zorunludur; aksi takdirde ACM düzenleme ve yenileme yapamaz. Emin değilseniz barındırma hizmetinizi kuran kişiye sorun ya da tarayıcınızdaki sertifikayı kontrol edin (kilide tıklayın, ardından sertifikanın düzenleyicisini görüntüleyin).

Route 53’te adım adım

1. AWS Management Console’a giriş yapın ve Route 53’ü açın.
2. Sol menüden Hosted zones seçin, ardından alan adınızı seçin.
3. Create record düğmesine tıklayın.
4. Kaydın alan adının köküne uygulanması için Record name alanını boş bırakın (apex). Alan adınızı buraya yazmayın.
5. Record type kısmını CAA olarak ayarlayın.
6. Value kutusuna Route 53’ün üç parçalı biçiminde tek satırda kaydı girin: 0 issue "letsencrypt.org" Bu sırayla: bayrak (0), ardından etiket (issue), ardından çift tırnaklar içinde sertifika otoritesi.
7. TTL değerini varsayılanda bırakın (300 saniye uygundur).
8. İstenirse Simple routing seçin, ardından Create records düğmesine tıklayın.

Birden fazla sertifika otoritesine izin verme

Çoğu alan adı zaman içinde birden fazla otorite kullanır — örneğin bir hizmet için AWS Certificate Manager, başka biri için Let’s Encrypt. Route 53’te ekstra otoriteleri aynı CAA kaydının Value kutusuna ek satırlar olarak eklersiniz, her biri ayrı bir satırda:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Bu ikisi birlikte bu iki otorite yetkilidir, başkası değil der. Her satır ayrı bir issue girişidir; tek bir satıra iki otorite yazmazsınız.

Route 53’te insanların sık yaptığı hatalar

• En büyük hata kendi otoritenizi kilitlemektir. Yalnızca digicert.com’u listeleyen bir CAA kaydı ekler ama sertifikanız aslında Let’s Encrypt veya ACM üzerinden yenilenirse bir sonraki yenileme sessizce başarısız olur ve kilit simgesi haftalar sonra kırılabilir. Kaydetmeden önce gerçekten kullandığınız her otoriteyi ekleyin.
• ACM için amazon.com’a izin verin. Sertifikalarınız AWS Certificate Manager’dan geliyorsa ve CAA kaydınız amazon.com’u içermiyorsa ACM doğrulama ve yenileme başarısız olur. Bu, en sık karşılaşılan Route 53’e özgü hatadır.
• CA çevresindeki tırnaklar zorunludur. Route 53, 0 issue "letsencrypt.org" biçimini, yani otoritenin çift tırnaklar içinde yazılmasını bekler. Tırnakları atlamak kaydı geçersiz kılar.
• Kök için kayıt adını boş bırakın. Boş bir ad kaydı apex’te uygular; alan adı adını buraya yazmak yanlış yere oluşturur.
• Flags normal bir kayıt için 0 olmalı. Diğer değer olan 128 katı moddur — yalnızca bilerek kullanın.
• Düz alan adını kullanın, URL değil. Değer letsencrypt.org olmalıdır; https://letsencrypt.org ya da www. ile başlayan bir şey olmamalıdır.
• Süre tanıyın. DNS değişikliklerinin yürürlüğe girmesi birkaç dakika ile birkaç saat arasında sürebilir. Mevcut sertifikalar çalışmaya devam eder; CAA yalnızca yeni bir sertifika düzenlendiğinde veya yenilendiğinde kontrol edilir.

Çalıştığını doğrulayın

Kaydedip yayıldıktan sonra bu sitedeki ücretsiz kontrolü çalıştırın. CAA kaydınızın yerinde olup olmadığını ve hangi otoritelere izin verdiğinizi sade bir dille size söyler.

Tamam mı? Alan adınızı ücretsiz kontrol edin çalıştığını onaylamak — ve 34 kontrolün tamamında tam derecenizi görmek için.