Defaults.Exposed › Налаштування › CAA

Як налаштувати CAA-запис на Namecheap

Додайте CAA-запис у Namecheap, щоб контролювати, які центри сертифікації можуть видавати SSL-сертифікати для вашого домену.

Чому це важливо для вашого бізнесу

CAA-запис вказує, які центри сертифікації (компанії, що видають SSL/TLS-сертифікати — замки у браузері) мають право видавати сертифікат для вашого домену. Будь-який центр, що дотримується правил, зобов’язаний спочатку перевірити цей запис і відмовити у видачі, якщо його немає в списку.

Простими словами: без CAA-запису будь-який із сотень центрів сертифікації по всьому світу може помилитися або бути обманутим і видати чинний сертифікат для вашого домену, яким зловмисник скористається, щоб переконливо видавати себе за ваш сайт. CAA-запис закриває цю вразливість, кажучи: лише ці центри, і жодних інших. Безкоштовно і займає кілька хвилин.

Перевірте, чи Namecheap керує вашим DNS

Це працює лише тоді, коли Namecheap відповідає на DNS-запити для вашого домену. Записи нижче додаються в Advanced DNS, який активний лише при використанні Namecheap BasicDNS (або PremiumDNS). Увійдіть, відкрийте Domain List, натисніть Manage для вашого домену і переконайтесь, що сервери імен встановлені на Namecheap. Якщо сервери імен вказують деінде — додайте CAA-запис у того провайдера, який керує вашим DNS.

Спочатку дізнайтесь ваш центр сертифікації

Перш ніж щось додавати, з’ясуйте, який центр видає ваш сертифікат, інакше ви ризикуєте заблокувати власного провайдера. Поширені значення:

• letsencrypt.org — Let’s Encrypt (більшість безкоштовних і автоматизованих сертифікатів)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Якщо не впевнені — запитайте того, хто налаштовував ваш хостинг, або перевірте сертифікат у браузері (натисніть на замок, потім переглянте видавця сертифіката).

Покрокова інструкція для Namecheap

1. Увійдіть до Namecheap і відкрийте Domain List.
2. Натисніть Manage поруч із вашим доменом.
3. Відкрийте вкладку Advanced DNS.
4. У розділі Host Records натисніть Add New Record.
5. Встановіть Type на CAA Record.
6. У полі Host введіть: @ Символ @ означає кореневий домен. Не вводьте назву домену тут.
7. У полі Flag введіть: 0
8. У полі Tag виберіть: issue
9. У полі Value (CA domain) введіть ідентифікатор вашого центру сертифікації, наприклад: letsencrypt.org
10. Залиште TTL на Automatic.
11. Натисніть зелену галочку для збереження, потім Save All Changes, якщо буде запит.

Дозвіл кільком центрам сертифікації

Більшість доменів з часом використовують більше одного центру — наприклад, безкоштовний сертифікат сьогодні і платний пізніше, або різні для різних сервісів. Щоб дозволити кілька — додайте окремий CAA-запис для кожного. Усі вони використовують однаковий @ host, 0 flag і issue tag — змінюється лише значення:

• один запис зі значенням letsencrypt.org
• один запис зі значенням digicert.com

Разом вони кажуть: обидва ці центри дозволені, жодних інших. Їх не об’єднують в один запис.

Типові помилки на Namecheap

• Найбільша помилка — заблокувати власного провайдера. Якщо додати CAA-запис лише з digicert.com, але ваш сертифікат фактично оновлюється через Let’s Encrypt, наступне оновлення мовчки провалиться і замок може зникнути через кілька тижнів. Завжди включайте всіх центрів, яких ви реально використовуєте.
• Host — це @, а не ваш домен. Введення повної назви домену у поле Host поставить запис не там, де треба. Використовуйте @ для кореневого домену.
• Flag — 0 для звичайного запису. Інше значення, 128, — це суворий режим; використовуйте тільки навмисно. Для звичайного використання — 0.
• Використовуйте лише домен, без URL. Значення — letsencrypt.org, ніколи не https://letsencrypt.org і не www..
• Обирайте тип CAA, а не TXT. У Namecheap є окремий тип CAA Record — використовуйте його, не намагайтесь вручну вписати CAA у TXT-запис.
• Дайте час. Зміни DNS можуть поширюватись від кількох хвилин до кількох годин. Поточні сертифікати продовжують працювати; CAA перевіряється лише при видачі або оновленні нового.

Перевірте результат

Після збереження й поширення запустіть безкоштовну перевірку на цьому сайті. Вона простими словами скаже, чи встановлено CAA-запис і яким центрам ви надали дозвіл.

Готово? Перевірте домен безкоштовно щоб підтвердити, що все спрацювало, — і побачити повну оцінку за всіма 34 перевірками.