Defaults.Exposed

Defaults.Exposed › 設置 › CAA

如何在 Namecheap 上設定 CAA 記錄

在 Namecheap 中新增 CAA 記錄,控制哪些憑證頒發機構可以為你的網域簽發 SSL 憑證。

這對你的業務意味著什麼

CAA(Certification Authority Authorization,憑證頒發機構授權)記錄指定了哪些憑證頒發機構(即簽發瀏覽器網址列掛鎖背後 SSL/TLS 憑證的公司)可以為你的網域簽發憑證。任何守規矩的機構都必須先檢查這條記錄,如果自己不在名單上,就必須拒絕簽發請求。

說得直白一點:沒有 CAA 記錄,全球數百家憑證頒發機構中的任何一家都可能被騙或因失誤而向他人簽發一張針對你網域的有效憑證——攻擊者可以藉此惟妙惟肖地假冒你的網站。CAA 記錄把這扇門關上,等於宣布:只有這幾家機構,其他一概不行。 它免費,幾分鐘就能搞定。

先確認 Namecheap 在為你解析 DNS

這只有在 Namecheap 負責回應你網域的 DNS 時才有效。下面的記錄新增在 Advanced DNS 裡,而它只有在你的網域使用 Namecheap BasicDNS(或 PremiumDNS)時才生效。登入後打開網域列表(Domain List),在你的網域上點擊 Manage,確認網域名稱伺服器已設為 Namecheap。如果你的網域名稱伺服器指向別處,請到真正負責你 DNS 的服務商那裡新增 CAA 記錄。

先弄清楚你的憑證頒發機構

動手新增之前,先弄清楚是哪家機構在簽發你的憑證,否則你可能會把自己的服務商也擋在門外。常見取值:

如果不確定,可以問搭建你主機環境的人,或在瀏覽器裡查看憑證(點擊掛鎖,再查看憑證的頒發者)。

Namecheap 上的操作步驟

  1. 登入 Namecheap,打開網域列表(Domain List)
  2. 在你的網域旁點擊 Manage
  3. 打開 Advanced DNS 標籤頁。
  4. Host Records 下,點擊 Add New Record
  5. 將記錄**類型(Type)**設為 CAA Record
  6. Host 欄位中輸入: @ @ 代表網域的根。不要在這裡填寫你的網域。
  7. Flag 欄位中輸入: 0
  8. Tag 欄位中選擇: issue
  9. Value(CA 網域)欄位中填寫你憑證頒發機構的識別符,例如: letsencrypt.org
  10. TTL 保持為 Automatic
  11. 點擊綠色對勾儲存,如有提示再點 Save All Changes

允許多家憑證頒發機構

大多數網域隨著時間會用到不止一家機構——比如現在用免費憑證、以後用付費憑證,或為另一項服務用另一家。要允許多家,請為每一家各新增一條獨立的 CAA 記錄。它們都使用相同的 @ 主機、0 旗標值和 issue 標籤,只有值不同:

這兩條合起來表示:這兩家機構都允許,其他都不行。 你不要把它們合併到一條記錄裡。

Namecheap 上人們常踩的坑

驗證是否生效

儲存並傳播完成後,運行本站的免費檢測。它會用通俗的語言告訴你 CAA 記錄是否已就位、你允許了哪些機構。

完成了? 免費檢查您的網域 以確認設置已生效——並查看您在全部 34 項檢查中的完整評級。