Defaults.Exposed › Налаштування › CAA

Як налаштувати CAA-запис на Cloudflare

Додайте CAA-запис у Cloudflare, щоб контролювати, які центри сертифікації можуть видавати SSL-сертифікати для вашого домену.

Чому це важливо для вашого бізнесу

CAA-запис вказує, які центри сертифікації (компанії, що видають SSL/TLS-сертифікати — замки у браузері) мають право видавати сертифікат для вашого домену. Будь-який центр, що дотримується правил, зобов’язаний спочатку перевірити цей запис і відмовити у видачі, якщо його немає в списку.

Простими словами: без CAA-запису будь-який із сотень центрів сертифікації по всьому світу може помилитися або бути обманутим і видати чинний сертифікат для вашого домену, яким зловмисник скористається, щоб переконливо видавати себе за ваш сайт. CAA-запис закриває цю вразливість, кажучи: лише ці центри, і жодних інших. Безкоштовно і займає кілька хвилин.

Перевірте, чи Cloudflare керує вашим DNS

Це працює лише тоді, коли Cloudflare відповідає на DNS-запити для вашого домену. Cloudflare є вашим DNS-хостом, і його DNS активний лише тоді, коли сервери імен вашого домену вказують на сервери Cloudflare, зазначені у вашій панелі керування. Відкрийте ваш домен у Cloudflare й перевірте сторінку Overview, щоб підтвердити активність Cloudflare. Якщо сервери імен вказують деінде — додайте CAA-запис у того провайдера, який керує вашим DNS.

Спочатку дізнайтесь ваш центр сертифікації

Перш ніж щось додавати, з’ясуйте, який центр видає ваш сертифікат, інакше ви ризикуєте заблокувати власного провайдера. Поширені значення:

• letsencrypt.org — Let’s Encrypt (більшість безкоштовних і автоматизованих сертифікатів)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Примітка щодо Cloudflare: якщо ви використовуєте власний SSL Cloudflare (проксований режим з помаранчевою хмарою), Cloudflare отримує сертифікати через кілька центрів від вашого імені — тому переконайтесь, що будь-який CAA-запис, який ви додаєте, все одно дозволяє ці центри, або дозвольте Cloudflare управляти CAA самостійно. Якщо не впевнені — запитайте того, хто налаштовував ваш хостинг, або перевірте сертифікат у браузері (натисніть на замок, потім переглянте видавця).

Покрокова інструкція для Cloudflare

1. Увійдіть до Cloudflare і виберіть ваш домен.
2. У лівому меню перейдіть до налаштувань DNS (шукайте DNS / Records).
3. Натисніть Add record.
4. Встановіть Type на CAA.
5. У полі Name введіть: @ Символ @ означає кореневий домен. Cloudflare автоматично додає домен, тому не вводьте назву домену після нього.
6. Cloudflare показує поля CAA у вигляді зручних меню. Налаштуйте їх так:
   • Flags: 0
   • Tag: виберіть Only allow specific hostnames (це тег issue)
   • CA domain name (значення): letsencrypt.org
7. Залиште TTL на Auto.
8. Натисніть Save.

Дозвіл кільком центрам сертифікації

Більшість доменів з часом використовують більше одного центру — наприклад, безкоштовний сертифікат сьогодні і платний пізніше, або різні для різних сервісів. Щоб дозволити кілька — додайте окремий CAA-запис для кожного. Усі вони використовують однакові @, 0 і issue — змінюється лише значення CA domain:

• один запис зі значенням letsencrypt.org
• один запис зі значенням digicert.com

Разом вони кажуть: обидва ці центри дозволені, жодних інших. Їх не об’єднують в один запис.

Типові помилки на Cloudflare

• Найбільша помилка — заблокувати власного провайдера. Якщо додати CAA-запис лише з digicert.com, але ваш сертифікат фактично оновлюється через Let’s Encrypt, наступне оновлення мовчки провалиться і замок може зникнути через кілька тижнів. Завжди включайте всіх центрів, яких ви реально використовуєте.
• Будьте обережні з власним SSL Cloudflare. Якщо ваш трафік проходить через Cloudflare (помаранчева хмара), Cloudflare потребує можливості отримувати крайові сертифікати. Додавання CAA-запису, який виключає центри, що використовує Cloudflare, може порушити це — якщо сумніваєтесь, дозвольте Let’s Encrypt і Google Trust Services (pki.goog) поряд із вашими, або залиште CAA Cloudflare.
• Name — це @, а не ваш домен. Використовуйте @ для кореневого домену; Cloudflare сам додає домен.
• Формулювання тегу відрізняється. Cloudflare позначає тег issue як Only allow specific hostnames у меню. Це правильний вибір для звичайного використання.
• Flags — 0 для звичайного запису. Інше значення, 128, — це суворий режим; використовуйте тільки навмисно.
• Використовуйте лише домен, без URL. Значення — letsencrypt.org, ніколи не https://letsencrypt.org і не www..
• Без проксі для CAA-запису. CAA — це суто DNS-запис; перемикач помаранчевої/сірої хмари тут не стосується.
• Дайте час. Зміни DNS можуть поширюватись від кількох хвилин до кількох годин. Поточні сертифікати продовжують працювати; CAA перевіряється лише при видачі або оновленні нового.

Перевірте результат

Після збереження й поширення запустіть безкоштовну перевірку на цьому сайті. Вона простими словами скаже, чи встановлено CAA-запис і яким центрам ви надали дозвіл.

Готово? Перевірте домен безкоштовно щоб підтвердити, що все спрацювало, — і побачити повну оцінку за всіма 34 перевірками.