Defaults.Exposed › Налаштування › CAA

Як налаштувати CAA-запис на AWS Route 53

Додайте CAA-запис у AWS Route 53, щоб контролювати, які центри сертифікації можуть видавати SSL-сертифікати для вашого домену.

Чому це важливо для вашого бізнесу

CAA-запис вказує, які центри сертифікації (компанії, що видають SSL/TLS-сертифікати — замки у браузері) мають право видавати сертифікат для вашого домену. Будь-який центр, що дотримується правил, зобов’язаний спочатку перевірити цей запис і відмовити у видачі, якщо його немає в списку.

Простими словами: без CAA-запису будь-який із сотень центрів сертифікації по всьому світу може помилитися або бути обманутим і видати чинний сертифікат для вашого домену, яким зловмисник скористається, щоб переконливо видавати себе за ваш сайт. CAA-запис закриває цю вразливість, кажучи: лише ці центри, і жодних інших. Безкоштовно і займає кілька хвилин.

Перевірте, чи Route 53 керує вашим DNS

Це працює лише тоді, коли Route 53 відповідає на DNS-запити для вашого домену. У Route 53 ваші записи знаходяться в hosted zone для домену, і ця зона активна лише тоді, коли сервери імен вашого домену вказують на чотири сервери Route 53, перелічені в зоні. Відкрийте хостинг-зону, перевірте її NS-запис і підтвердьте, що ці сервери імен встановлені у вашого реєстратора. Якщо сервери імен вказують деінде — додайте CAA-запис у того провайдера, який керує вашим DNS.

Спочатку дізнайтесь ваш центр сертифікації

Перш ніж щось додавати, з’ясуйте, який центр видає ваш сертифікат, інакше ви ризикуєте заблокувати власного провайдера. Поширені значення:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (більшість безкоштовних і автоматизованих сертифікатів)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Якщо ви використовуєте AWS Certificate Manager для видачі сертифікатів — обов’язково дозвольте amazon.com, інакше ACM не зможе видавати сертифікати. Якщо не впевнені — запитайте того, хто налаштовував ваш хостинг, або перевірте сертифікат у браузері (натисніть на замок, потім переглянте видавця).

Покрокова інструкція для Route 53

1. Увійдіть до консолі AWS і відкрийте Route 53.
2. У лівому меню виберіть Hosted zones, потім виберіть ваш домен.
3. Натисніть Create record.
4. Залиште поле Record name порожнім, щоб застосувати запис до кореневого домену (apex). Не вводьте назву домену тут.
5. Встановіть Record type на CAA.
6. У полі Value введіть запис у тричастинному форматі Route 53 в одному рядку: 0 issue "letsencrypt.org" Це flags (0), потім tag (issue), потім центр сертифікації в подвійних лапках.
7. Залиште TTL за замовчуванням (300 секунд — нормально).
8. Виберіть Simple routing, якщо буде запит, потім натисніть Create records.

Дозвіл кільком центрам сертифікації

Більшість доменів з часом використовують більше одного центру — наприклад, AWS Certificate Manager для одного сервісу і Let’s Encrypt для іншого. У Route 53 ви додаєте додаткові центри як додаткові рядки в полі Value того ж CAA-запису, по одному рядку:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Разом вони кажуть: обидва ці центри дозволені, жодних інших. Кожен рядок — це окремий запис issue; не ставте два центри в один рядок.

Типові помилки на Route 53

• Найбільша помилка — заблокувати власного провайдера. Якщо додати CAA-запис лише з digicert.com, але ваш сертифікат фактично оновлюється через Let’s Encrypt або ACM, наступне оновлення мовчки провалиться і замок може зникнути через кілька тижнів. Завжди включайте всіх центрів, яких ви реально використовуєте.
• Дозвольте amazon.com для ACM. Якщо ваші сертифікати надходять від AWS Certificate Manager і ваш CAA-запис не включає amazon.com — перевірка та оновлення ACM завершаться помилкою. Це найпоширеніша помилка, специфічна для Route 53.
• Лапки навколо центру сертифікації обов’язкові. Route 53 очікує 0 issue "letsencrypt.org" з центром у подвійних лапках. Відсутність лапок робить запис недійсним.
• Залиште поле record name порожнім для кореневого домену. Порожнє поле застосовує запис до apex; введення назви домену туди створить запис не там, де треба.
• Flags — 0 для звичайного запису. Інше значення, 128, — це суворий режим; використовуйте тільки навмисно.
• Використовуйте лише домен, без URL. Значення — letsencrypt.org, ніколи не https://letsencrypt.org і не www..
• Дайте час. Зміни DNS можуть поширюватись від кількох хвилин до кількох годин. Поточні сертифікати продовжують працювати; CAA перевіряється лише при видачі або оновленні нового.

Перевірте результат

Після збереження й поширення запустіть безкоштовну перевірку на цьому сайті. Вона простими словами скаже, чи встановлено CAA-запис і яким центрам ви надали дозвіл.

Готово? Перевірте домен безкоштовно щоб підтвердити, що все спрацювало, — і побачити повну оцінку за всіма 34 перевірками.