如何在 Namecheap 上设置 CAA 记录

在 Namecheap 中添加 CAA 记录，控制哪些证书颁发机构可以为你的域名签发 SSL 证书。

这对你的业务意味着什么

CAA（Certification Authority Authorization，证书颁发机构授权）记录指定了哪些证书颁发机构（即签发浏览器地址栏挂锁背后 SSL/TLS 证书的公司）可以为你的域名签发证书。任何守规矩的机构都必须先检查这条记录，如果自己不在名单上，就必须拒绝签发请求。

说得直白一点：没有 CAA 记录，全球数百家证书颁发机构中的任何一家都可能被骗或因失误而向他人签发一张针对你域名的有效证书——攻击者可以借此惟妙惟肖地冒充你的网站。CAA 记录把这扇门关上，等于宣布：只有这几家机构，其他一概不行。 它免费，几分钟就能搞定。

先确认 Namecheap 在为你解析 DNS

这只有在 Namecheap 负责回应你域名的 DNS 时才有效。下面的记录添加在 Advanced DNS 里，而它只有在你的域名使用 Namecheap BasicDNS（或 PremiumDNS）时才生效。登录后打开域名列表（Domain List），在你的域名上点击 Manage，确认域名服务器已设为 Namecheap。如果你的域名服务器指向别处，请到真正负责你 DNS 的服务商那里添加 CAA 记录。

先弄清楚你的证书颁发机构

动手添加之前，先弄清楚是哪家机构在签发你的证书，否则你可能会把自己的服务商也挡在门外。常见取值：

letsencrypt.org — Let’s Encrypt（大多数免费及自动化证书使用）
digicert.com — DigiCert
sectigo.com — Sectigo
globalsign.com — GlobalSign
pki.goog — Google Trust Services
amazon.com — Amazon（AWS Certificate Manager）

如果不确定，可以问搭建你主机环境的人，或在浏览器里查看证书（点击挂锁，再查看证书的颁发者）。

Namecheap 上的操作步骤

登录 Namecheap，打开域名列表（Domain List）。
在你的域名旁点击 Manage。
打开 Advanced DNS 标签页。
在 Host Records 下，点击 Add New Record。
将记录**类型（Type）**设为 CAA Record。
在 Host 字段中输入： @ @ 代表域名的根。不要在这里填写你的域名。
在 Flag 字段中输入： 0
在 Tag 字段中选择： issue
在 Value（CA 域名）字段中填写你证书颁发机构的标识符，例如： letsencrypt.org
TTL 保持为 Automatic。
点击绿色对勾保存，如有提示再点 Save All Changes。

允许多家证书颁发机构

大多数域名随着时间会用到不止一家机构——比如现在用免费证书、以后用付费证书，或为另一项服务用另一家。要允许多家，请为每一家各添加一条独立的 CAA 记录。它们都使用相同的 @ 主机、0 标志位和 issue 标签，只有值不同：

一条记录的值为 letsencrypt.org
一条记录的值为 digicert.com

这两条合起来表示：这两家机构都允许，其他都不行。 你不要把它们合并到一条记录里。

Namecheap 上人们常踩的坑

最大的错误就是把自己的机构挡在门外。 如果你添加的 CAA 记录只列了 digicert.com，而你的证书其实是通过 Let’s Encrypt 续期的，那么下一次续期就会悄无声息地失败，几周后你的挂锁可能突然失效。保存前务必把你真正使用的每一家机构都列进去。
主机是 @，不是你的域名。 在 Host 字段里填完整域名会把记录建到错误的位置。根用 @。
标志位普通记录用 0。 另一个值 128 是严格模式，会让不合规的机构直接拒绝——只在你有意为之时才用。日常使用填 0。
填裸域名，不要填网址。 值是 letsencrypt.org，绝不是 https://letsencrypt.org，也不要带 www.。
选 CAA 类型，不要选 TXT。 Namecheap 有专门的 CAA Record 类型——直接用它，不要试图手动把 CAA 写进 TXT 记录里。
给它一点时间。 DNS 变更生效需要几分钟到几个小时不等。已有证书照常工作；CAA 只在签发或续期新证书时才会被检查。

验证是否生效

保存并传播完成后，运行本站的免费检测。它会用通俗的语言告诉你 CAA 记录是否已就位、你允许了哪些机构。

完成了？免费检查您的域名以确认设置已生效——并查看您在全部 34 项检查中的完整评级。