¿Cómo soluciono el error "Fallo" de la CAA al emitir o renovar un certificado de ACM?

7 minutos de lectura
0

He solicitado un certificado nuevo o he intentado renovar un certificado con AWS Certificate Manager (ACM), pero el estado del nombre de dominio es "Fallo". El estado de validación es "Correcto", aunque se haya producido un error en la solicitud del certificado.

Descripción breve

Un registro de autorización de la autoridad de certificación (CAA) es un registro de DNS. Este registro le permite controlar la autoridad de certificación (CA) que puede emitir certificados para su dominio. ACM comprueba los registros de la CAA para verificar si el propietario del dominio permite a ACM emitir un certificado SSL para el dominio. La CAA comprueba las siguientes condiciones:

  • La comprobación de registros de la CAA asciende en el árbol de nombres DNS.
  • La ausencia de un registro de la CAA significa que cualquier CA puede emitir certificados.
  • La comprobación de registros de la CAA sigue al registro CNAME.
  • La etiqueta "issue" se puede usar tanto para dominios no comodín como para dominios comodín, mientras que la etiqueta "issuewild" solo afecta a dominios comodín.

Resolución

La comprobación de registros de la CAA asciende en el árbol de nombres DNS

La comprobación de registros de la CAA comienza en el dominio de solicitud y, a continuación, asciende en el árbol de nombres DNS. Si solicita un certificado para www.ejemplo.com, ACM comprueba primero el registro de la CAA del dominio de tercer nivel www.ejemplo.com. A continuación, ACM comprueba el nombre de dominio de segundo nivel ejemplo.com.

Una vez encontrado el registro de la CAA, la búsqueda de la CAA se detiene y el registro entra en vigor. Los siguientes ejemplos muestran qué registro de la CAA entra en vigor al solicitar un certificado para www.ejemplo.com:

(Example 1 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA passed)

El registro del nombre de dominio de tercer nivel entra en vigor, lo que permite a ACM emitir el certificado. El registro de nombres de dominio de segundo nivel no se utiliza.

(Example 2 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA failed)

El primer registro entra en vigor, lo que impide que ACM emita el certificado. Se ignora el segundo registro.

(Example 3 / www.example.com)Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

El primer registro no afecta al registro de la CAA de www.ejemplo.com. El segundo registro entra en vigor, lo que permite a ACM emitir el certificado.

En los siguientes ejemplos se muestra qué registro de la CAA entra en vigor al solicitar un certificado para ejemplo.com:

(Example 4 / example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA failed)

El primer registro no entra en vigor porque www.ejemplo.com es un subdominio del dominio solicitado y la comprobación de registros de la CAA no desciende en el árbol de DNS. El segundo registro entra en vigor, lo que impide que ACM emita el certificado.

(Example 5 / example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

El primer registro se ignora porque www.ejemplo.com es un subdominio del dominio solicitado y la comprobación de registros de la CAA no desciende en el árbol de nombres de DNS. El segundo registro entra en vigor, lo que permite a ACM emitir el certificado.

La ausencia de un registro de la CAA significa que cualquier CA puede emitir certificados

Si no configura un registro de la CAA para el dominio solicitado, cualquier CA, incluido ACM, puede emitir certificados para su dominio. Por ejemplo, ACM puede emitir certificados para ejemplo.com en el siguiente ejemplo:

(Example 6 / example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   ";"

(Result: CAA passed)

Como la comprobación de la CAA no desciende en el árbol de DNS, se ignora el registro.

La comprobación de registros de la CAA sigue al registro CNAME.

La comprobación de registros de la CAA continúa con el registro CNAME que apunta a un dominio diferente. En este ejemplo, www.ejemplo.com apunta a www.ejemplo.net, que tiene un registro de la CAA:

(Example 7 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
www.example.net.   CAA           0      issue   ";"

(Result: CAA failed)

El primer registro redirige la comprobación de la CAA a www.ejemplo.net. Este registro de la CAA impide que ninguna CA emita certificados y ACM no puede emitir certificados para www.ejemplo.com.

Si el dominio apuntado www.ejemplo.net no tiene un registro de la CAA, la comprobación de registros de la CAA asciende al dominio base ejemplo.com.

(Example 8 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

En esta situación, ACM puede emitir certificados para www.ejemplo.com porque www.ejemplo.net no tiene ningún registro de la CAA configurado. Tenga en cuenta que la comprobación de registros de la CAA no asciende al elemento principal de un registro CNAME y que el registro de la CAA de ejemplo.net no se comprueba. Para obtener más información, consulte APPENDIX A en el sitio web de CA/Browser Forum.

La etiqueta "issue" se puede usar tanto para el dominio no comodín como para el dominio comodín, mientras que la etiqueta "issuewild" solo afecta al dominio comodín

La etiqueta "issue" permite a la CA emitir certificados tanto para dominios que no sean comodín www.ejemplo.com como para dominios comodín *.ejemplo.com. Puede utilizar la etiqueta "issuewild" para indicar cómo una CA gestiona los dominios comodín. Los siguientes ejemplos muestran qué registro de la CAA entra en vigor al solicitar un certificado para *.ejemplo.com:

(Example 9 / *.example.com)Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

El registro de la CAA permite a ACM emitir tanto un certificado de dominio no comodín como un certificado de dominio comodín, y ACM puede emitir el certificado.

(Example 10 / *.example.com)Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

El campo de etiqueta «issuewild» invalida «issue» en una solicitud de dominio comodín, y ACM no puede emitir el certificado. Nota: Debe configurar un registro de la CAA para ejemplo.com a fin de permitir que la CA emita certificados para *.ejemplo.com.

(Example 11 / *.example.com)Domain   Record type  Flags  Tag      Value   
*.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

El primer registro de la CAA se ignora y el segundo registro de la CAA impide que la CA emita certificados para *.ejemplo.com.

El siguiente ejemplo muestra qué registro de la CAA entra en vigor al solicitar un certificado para \ *.prueba.ejemplo.com:

(Example 12 / *.test.example.com)Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA passed)

La comprobación de la CAA busca el primer registro, finaliza el ascenso en el árbol de nombres de DNS y permite a ACM emitir el certificado.

La etiqueta «issuewild» se ignora cuando solicita un dominio que no sea comodín. En este ejemplo se muestra qué registro de la CAA entra en vigor al solicitar un certificado para www.ejemplo.com:

(Example 13 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issue   ";"

(Result: CAA failed)

Se trata de una solicitud de dominio que no es comodín, por lo que se ignora el primer registro de la CAA. El segundo registro de la CAA entra en vigor y la CA no puede emitir el certificado.

Para obtener más información sobre la configuración de un registro de la CAA, consulte (Optional) configure a CAA record.

Información relacionada

DNS Certification Authority Authorization (CAA) resource record en el sitio web de Datatracker

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 4 meses