CAA záznam může blokovat vydání certifikátu

CAA je zkratka pro typ DNS záznamu, který v DNS zóně vaší domény určuje, která certifikační autorita pro ni může vystavit certifikát. Slouží k zamezení vystavení falešného certifikátu jinou autoritou, než jste si zvolili. Tento nástroj ale často brání našim zákazníkům ve vydání certifikátu od DigiCertu, takže si ukážeme, jak tuto situaci řešit.

Proč se používá CAA záznam

Pokud by nastala situace, že "nekvalifikovaná" certifikační autorita obdrží objednávku vystavení certifikátu pro vaši doménu, měla by ji na základě CAA napřed autorizovat s vlastníkem domény. Rozhodně by neměla certifikát automaticky vystavit. Všechny CA na světě už dnes musí povinně CAA záznam respektovat a majitel domény má tedy ve své moci silný nástroj pro její ochranu. CAA záznam ale často brání našim zákazníkům ve vydání certifikátu od DigiCertu a oni o tom ani neví. Ukážeme si tedy, jak tuto situaci řešit.

Co dělat, když se certifikát nedaří vystavit

Pokud je doména v certifikátu ověřena, případně i společnost, tak vydání certifikátů ve většině připadů brání jen a pouze CAA záznam v DNS. Stav ověření certifikátu si můžete snadno zkontrolovat ve své zákaznické administraci, avšak CAA záznam je čistě ve vaší gesci. Je potřeba zkontrolovat DNS záznamy ověřované domény; editaci však může provést jen člověk s přístupem k DNS záznamům dané domény.

Zkontrolujte CAA záznamy v DNS

Otevřete si libovolný nástroj na kontrolu DNS - například Google Dig, nebo použijte dig v příkazovém řádku. Zkontrolujte přítomnost CAA záznamů u ověřované domény - v případě Google Digu vložte název domény do pole Název a klikněte na typ CAA.

Výsledek uvidíte okamžitě - buď je u domény nějaký CAA záznam nastaven a uvidíte ho v boxu spolu s jeho platností (TTL), nebo bude odpověď Record not found! (tedy žádný CAA záznam není a tudíž ani nemůže blokovat vydání).

Zde je příklad kolize - níže je u domény uvedena pouze jedna cizí CA, což znamená, že DigiCert nemůže pro tuto doménu certifikát vydat. ;; ANSWER SECTION:
domena.cz 600 IN CAA 1 issue "letsencrypt.org"

Upravte či smažte CAA záznam

Pokud je na doméně kolizní CAA záznam v DNS, tak je nutné upravit DNS zónu domény. To uděláte u registrátora či správce své domény, my k DNS nemáme přístup.

V případě kolize máte dvě možnosti - buď přidat CAA záznam pro digicert.com, který funguje pro všechny CA v naší nabídce, nebo kolizní záznam smazat. V našem případě by mohly CAA záznamy domény vypadat takto: ;; ANSWER SECTION:
domena.cz 600 IN CAA 1 issue "letsencrypt.org"
domena.cz 600 IN CAA 1 issue "digicert.com"

Po této úpravě bude certifikát bez problému automaticky vydán, protože změna se projeví typicky do hodiny a DigiCert si ji načte. V opačném případě kontaktujte naši podporu.