CAA záznam môže blokovať vydanie certifikátu

CAA je skratka pre typ DNS záznamu, ktorý v DNS zóne vašej domény určuje, ktorá certifikačná autorita pre ňu môže vystaviť certifikát. Slúži na zamedzenie vystavenia falošného certifikátu inou autoritou, než ste si zvolili. Tento nástroj ale často bráni našim zákazníkom vo vydaní certifikátu od DigiCertu, takže si ukážeme, ako túto situáciu riešiť.

Prečo sa používa CAA záznam

Ak by nastala situácia, že "nekvalifikovaná" certifikačná autorita obdrží objednávku vystavenia certifikátu pre vašu doménu, mala by ju na základe CAA napred autorizovať s vlastníkom domény. Rozhodne by nemala certifikát automaticky vystaviť. Všetky CA na svete už dnes musia povinne CAA záznam rešpektovať a majiteľ domény má teda vo svojej moci silný nástroj pre jej ochranu. CAA záznam ale často bráni našim zákazníkom vo vydaní certifikátu od DigiCertu a oni o tom ani nevedia. Ukážeme si teda, ako túto situáciu riešiť.

Čo robiť, keď sa certifikát nedarí vystaviť

Ak je doména v certifikáte overená, prípadne aj spoločnosť, tak vydanie certifikátov vo väčšine prípadov bráni len a len CAA záznam v DNS. Stav overenia certifikátu si môžete ľahko skontrolovať vo svojej zákazníckej administrácii, avšak CAA záznam je čisto vo vašej gescii. Je potrebné skontrolovať DNS záznamy overovanej domény; editáciu však môže vykonať len človek s prístupom k DNS záznamom danej domény.

Skontrolujte CAA záznamy v DNS

Otvorte si ľubovoľný nástroj na kontrolu DNS - napríklad Google Dig , alebo použite dig v príkazovom riadku. Skontrolujte prítomnosť CAA záznamov u overovanej domény - v prípade Google Digue vložte názov domény do poľa Názov a kliknite na typ CAA.

Výsledok uvidíte okamžite - buď je pri doméne CAA záznam nastavený a uvidíte ho v boxe spolu s jeho platnosťou (TTL), alebo bude odpoveď Record not found! (Teda žiadny CAA záznam nie je a teda ani nemôže blokovať vydanie).

Tu je príklad kolízie - nižšie je u domény uvedená len jedna cudzia CA, čo znamená, že DigiCert nemôže pre túto doménu certifikát vydať. ;; ANSWER SECTION:
domena.sk 600 IN CAA 1 issue "letsencrypt.org"

Upravte či zmažte CAA záznam

Ak je na doméne kolízny CAA záznam v DNS, tak je nutné upraviť DNS zónu domény . To urobíte u registrátora či správcu svojej domény, my k DNS nemáme prístup .

V prípade kolízie máte dve možnosti - buď pridať CAA záznam pre digicert.com, ktorý funguje pre všetkých CA v našej ponuke, alebo kolízny záznam zmazať. V našom prípade by mohli CAA záznamy domény vyzerať takto: ;; ANSWER SECTION:
domena.cz 600 IN CAA 1 issue "letsencrypt.org"
domena.cz 600 IN CAA 1 issue "digicert.com"

Po tejto úprave bude certifikát bez problému automaticky vydaný, pretože zmena sa prejaví typicky do hodiny a DigiCert si ju načíta. V opačnom prípade kontaktujte našu podporu.