Defaults.Exposed › Налаштування › CAA

Як налаштувати CAA-запис на GoDaddy

Додайте CAA-запис у GoDaddy, щоб контролювати, які центри сертифікації можуть видавати SSL-сертифікати для вашого домену.

Чому це важливо для вашого бізнесу

CAA-запис вказує, які центри сертифікації (компанії, що видають SSL/TLS-сертифікати — замки у браузері) мають право видавати сертифікат для вашого домену. Будь-який центр, що дотримується правил, зобов’язаний спочатку перевірити цей запис і відмовити у видачі, якщо його немає в списку.

Простими словами: без CAA-запису будь-який із сотень центрів сертифікації по всьому світу може помилитися або бути обманутим і видати чинний сертифікат для вашого домену, яким зловмисник скористається, щоб переконливо видавати себе за ваш сайт. CAA-запис закриває цю вразливість, кажучи: лише ці центри, і жодних інших. Безкоштовно і займає кілька хвилин.

Перевірте, чи GoDaddy керує вашим DNS

Це працює лише тоді, коли GoDaddy відповідає на DNS-запити для вашого домену. GoDaddy продає домени і також хостить DNS, але це дві різні речі — сервери імен вашого домену повинні вказувати на GoDaddy, щоб записи, які ви тут додаєте, були активними. Увійдіть, відкрийте ваш домен і переконайтесь, що сервери імен належать GoDaddy. Якщо вони вказують деінде — додайте CAA-запис у того провайдера, який керує вашим DNS.

Спочатку дізнайтесь ваш центр сертифікації

Перш ніж щось додавати, з’ясуйте, який центр видає ваш сертифікат, інакше ви ризикуєте заблокувати власного провайдера. Поширені значення:

• letsencrypt.org — Let’s Encrypt (більшість безкоштовних і автоматизованих сертифікатів)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Якщо не впевнені — запитайте того, хто налаштовував ваш хостинг, або перевірте сертифікат у браузері (натисніть на замок, потім «Переглянути сертифікат» і подивіться на видавця).

Покрокова інструкція для GoDaddy

1. Увійдіть до GoDaddy і відкрийте Domain Portfolio (або My Products).
2. Знайдіть ваш домен і відкрийте його сторінку управління DNS (шукайте DNS або Manage DNS).
3. У списку записів натисніть Add (або Add New Record).
4. Встановіть Type на CAA.
5. У полі Name (або Host) введіть: @ Символ @ означає кореневий домен. Не вводьте назву домену тут.
6. Встановіть Flags на: 0
7. Встановіть Tag на: issue
8. У полі Value введіть ідентифікатор вашого центру сертифікації, наприклад: letsencrypt.org
9. Залиште TTL за замовчуванням (1 година — нормально).
10. Натисніть Save.

Дозвіл кільком центрам сертифікації

Більшість доменів з часом використовують більше одного центру — наприклад, безкоштовний сертифікат сьогодні і платний пізніше, або різні для різних сервісів. Щоб дозволити кілька — додайте окремий CAA-запис для кожного. Усі вони використовують однакові @, 0 і issue — змінюється лише значення:

• один запис зі значенням letsencrypt.org
• один запис зі значенням digicert.com

Разом вони кажуть: обидва ці центри дозволені, жодних інших. Їх не об’єднують в один запис.

Типові помилки на GoDaddy

• Найбільша помилка — заблокувати власного провайдера. Якщо додати CAA-запис лише з digicert.com, але ваш сертифікат фактично оновлюється через Let’s Encrypt, наступне оновлення мовчки провалиться і замок може зникнути через кілька тижнів. Завжди включайте всіх центрів, яких ви реально використовуєте.
• Name — це @, а не ваш домен. Введення повної назви домену у поле Name поставить запис не там, де треба. Використовуйте @ для кореневого домену.
• Flags — 0 для звичайного запису. Інше значення, 128, — це суворий режим, при якому невідповідний центр відмовляє у видачі; використовуйте тільки навмисно. Для звичайного використання — 0.
• Використовуйте лише домен, без URL. Значення — letsencrypt.org, ніколи не https://letsencrypt.org і не www..
• Не додавайте власні лапки. Вводьте просте значення; GoDaddy сам обробляє будь-яке лапковання.
• Дайте час. Зміни DNS можуть поширюватись від кількох хвилин до кількох годин. Поточні сертифікати продовжують працювати; CAA перевіряється лише при видачі або оновленні нового.

Перевірте результат

Після збереження й поширення запустіть безкоштовну перевірку на цьому сайті. Вона простими словами скаже, чи встановлено CAA-запис і яким центрам ви надали дозвіл.

Готово? Перевірте домен безкоштовно щоб підтвердити, що все спрацювало, — і побачити повну оцінку за всіма 34 перевірками.