Bonnes pratiques pour l’intégration du domaine Express
Les bonnes pratiques suivantes garantissent la stabilité et la sécurité à long terme de votre Intégration de domaine Express. Consultez Configurer un domaine de suivi personnalisé pour la configuration initiale.
Remarque : Si vous utilisez une configuration de proxy personnalisé, votre organisation gère directement les certificats SSL et les politiques de sécurité DNS via votre fournisseur CDN, et les exigences liées au certificat ci-dessous ne s’appliquent pas.
Conserver la configuration DNS requise
Pour garantir que votre domaine de suivi personnalisé continue de fonctionner de manière fiable et pour éviter les interruptions de suivi, suivez ces consignes DNS :
Conservez l’enregistrement CNAME de votre sous-domaine de suivi personnalisé pointant vers :
customtracking.impact.com.cdn.cloudflare.netNe supprimez pas et ne modifiez pas cet enregistrement CNAME sauf instruction de impact.com.
Nous recommandons d’utiliser un TTL faible (par exemple, 300 secondes) afin de permettre une propagation plus rapide lors d’une récupération ou d’une migration.
Examinez attentivement les modifications DNS avant publication. Une configuration incorrecte peut empêcher la résolution des liens de suivi.
Important : La suppression ou la modification de cet enregistrement CNAME rompra immédiatement votre domaine de suivi personnalisé. L’émission et le renouvellement du certificat SSL dépendent du maintien de cet enregistrement en place.
Configurer les enregistrements CAA
Si votre organisation utilise Authorization d’autorité de certification (CAA) des enregistrements DNS pour restreindre les autorités de certification pouvant émettre des certificats SSL pour votre domaine, vous devez autoriser l’autorité de certification utilisée pour votre domaine de suivi.
Les enregistrements CAA configurés sur un domaine parent s’appliquent à tous les sous-domaines, sauf remplacement explicite.
Par exemple : Les enregistrements CAA sur yourcompany.example s’appliqueront également à goto.yourcompany.example.
Enregistrement CAA requis
Ajoutez et vérifiez que l’émetteur suivant est autorisé :
yourcompany.example. CAA 0 issue "pki.goog"
Les certificats SSL sont émis via Google Trust Services (pki.goog).
Enregistrement CAA recommandé
Nous recommandons d’autoriser letsencrypt.org:
yourcompany.example. CAA 0 issue "letsencrypt.org"
Cela aide à éviter les interruptions si les fournisseurs de certificats changent à l’avenir.
Vérifiez vos enregistrements CAA actuels
Inspectez les enregistrements CAA de votre domaine à l’aide d’un outil de recherche DNS ou de la ligne de commande : dig CAA yourcompany.example.
Si la réponse est vide (aucun enregistrement CAA), aucune action n’est requise. Toutes les autorités de certification sont implicitement autorisées.
Si la réponse contient issue des entrées, vérifiez que pki.goog et letsencrypt.org sont inclus.
Si vous n’avez pas actuellement d’enregistrements CAA, vous n’avez pas besoin d’en ajouter. Toutefois, si vous ajoutez ou renforcez des restrictions CAA à l’avenir, veillez à ce que les émetteurs requis restent autorisés. Sinon, le renouvellement du certificat SSL échouera et votre domaine de suivi personnalisé cessera de fonctionner.
Remarque : Les enregistrements CAA sont contrôlés par votre fournisseur DNS. impact.com ne peut pas contourner les restrictions CAA de votre domaine.
Coordonner les modifications DNS et de sécurité
Avant d’apporter des modifications à votre domaine de suivi ou à son domaine parent, coordonnez-vous avec votre équipe interne DNS ou sécurité et informez votre équipe Customer Success (CS) de impact.com.
Avant d’appliquer des modifications, nous recommandons :
De confirmer que la cible CNAME requise (
customtracking.impact.com.cdn.cloudflare.net) restera en place.De confirmer que l’émetteur CAA requis (
pki.goog) reste autorisé à tous les niveaux de domaine concernés.D’examiner attentivement les modifications afin de vous assurer qu’elles n’affectent pas la résolution DNS ni l’émission des certificats SSL pour votre domaine de suivi.
Modifications pouvant affecter votre domaine de suivi personnalisé
Enregistrements CNAME (sous-domaine de suivi ou domaine parent)
Enregistrements CAA à n’importe quel niveau de la hiérarchie de domaines
Configuration DNSSEC
Migration du fournisseur DNS ou changements d’hébergement
Transferts de propriété de domaine, de délégation ou de registraire
Politiques de sécurité ayant un impact sur l’émission des certificats ou la résolution DNS
Gestion des certificats SSL
Les certificats SSL de votre domaine de suivi personnalisé sont automatiquement provisionnés et renouvelés par impact.com via Cloudflare.
N’essayez pas d’émettre, d’installer ou de gérer manuellement des certificats SSL pour votre sous-domaine de suivi.
Ne provisionnez pas de certificats pour votre sous-domaine de suivi via une autorité de certification distincte. Cela peut entrer en conflit avec le renouvellement automatisé.
Aucune action n’est requise pour le renouvellement du certificat en fonctionnement normal.
Vérifiez régulièrement votre domaine de suivi
Confirmez que votre domaine de suivi fonctionne en visitant le point de terminaison suivant dans votre navigateur :
Remplacent goto.yourcompany.example avec votre domaine de suivi.
Un healthy la réponse contiendra tracking.
Si ce point de terminaison ne se charge pas, renvoie une erreur de certificat ou ne contient pas appName: tracking, votre domaine de suivi personnalisé peut ne pas fonctionner correctement. Nous vous recommandons de vérifier ce point de terminaison après toute modification DNS ou de sécurité, et de mettre en place une supervision automatisée pour détecter les problèmes avant qu’ils n’affectent le suivi.
Dépannage et assistance
Si votre domaine de suivi cesse d’être résolu ou si les liens cessent de rediriger :
Vérifiez que votre enregistrement CNAME pointe toujours vers :
Vérifiez s’il y a eu des modifications récentes des paramètres DNS, CAA ou de sécurité.
Contactez l’assistance et fournissez votre domaine de suivi personnalisé, le moment où le problème a commencé, ainsi que toute modification de sécurité récente.
Mis à jour
Ce contenu vous a-t-il été utile ?