Como resolvo o erro de "Falha" de CAA quando um certificado ACM é emitido ou renovado?
Solicitei um novo certificado ou tentei renová-lo com o AWS Certificate Manager (ACM), mas o status do nome de domínio é "Falha". O status de validação é "Êxito", mesmo que a solicitação do certificado tenha falhado.
Breve descrição
Um registro de Certificate Authority Authorization (CAA) é um registro DNS. Ele permite controlar a Autoridade de Certificação (CA) que pode emitir certificados para seu domínio. O ACM verifica nos registros de CAA se o proprietário do domínio permite que o ACM emita um certificado SSL para o domínio. A CAA verifica as seguintes condições:
- A verificação de registros do CAA avança no sentido ascendente na árvore de nomes do DNS.
- A ausência de registro de CAA significa que qualquer CA pode emitir certificados.
- A verificação de registros CAA segue o registro CNAME.
- A tag "issue" pode ser usada tanto para domínios não curinga quanto para domínios curinga, enquanto a tag "issuewild" afeta somente domínios curinga.
Resolução
A verificação de registros do CAA avança no sentido ascendente na árvore de nomes do DNS
A verificação de registros do CAA começa no domínio da solicitação e, em seguida, avança em sentido ascendente na árvore de nomes do DNS. Se você solicitar um certificado para www.example.com, o ACM verificará primeiro o registro CAA do domínio de terceiro nível www.example.com. Em seguida, verificará o nome de domínio de segundo nível example.com.
Depois que o registro do CAA é encontrado, a pesquisa do CAA é interrompida e o registro entra em vigor. Os exemplos a seguir mostram qual registro CAA entra em vigor quando você solicita um certificado para www.example.com:
(Example 1 / www.example.com)Domain Record type Flags Tag Value www.example.com. CAA 0 issue "amazon.com" example.com. CAA 0 issue "SomeCA.com" (Result: CAA passed)
O registro do nome de domínio de terceiro nível entra em vigor, o que permite que o ACM emita o certificado. O registro de nome de domínio de segundo nível não é usado.
(Example 2 / www.example.com)Domain Record type Flags Tag Value www.example.com. CAA 0 issue "SomeCA.com" example.com. CAA 0 issue "amazon.com" (Result: CAA failed)
O primeiro registro entra em vigor, o que impede o ACM de emitir o certificado. O segundo registro é ignorado.
(Example 3 / www.example.com)Domain Record type Flags Tag Value test.example.com. CAA 0 issue "SomeCA.com" example.com. CAA 0 issue "amazon.com" (Result: CAA passed)
O primeiro registro não afeta o registro CAA para www.example.com. O segundo registro entra em vigor, o que permite que o ACM emita o certificado.
Os exemplos a seguir mostram qual registro CAA entra em vigor quando você solicita um certificado para example.com:
(Example 4 / example.com)Domain Record type Flags Tag Value www.example.com. CAA 0 issue "amazon.com" example.com. CAA 0 issue "SomeCA.com" (Result: CAA failed)
O primeiro registro não entra em vigor porque www.example.com é um subdomínio do domínio solicitado e a verificação de registros do CAA não avança em sentido descendente na árvore do DNS. O segundo registro entra em vigor, o que impede o ACM de emitir o certificado.
(Example 5 / example.com)Domain Record type Flags Tag Value www.example.com. CAA 0 issue "SomeCA.com" example.com. CAA 0 issue "amazon.com" (Result: CAA passed)
O primeiro registro é ignorado porque www.exemplo.com é um subdomínio do domínio solicitado e a verificação de registros do CAA não avança em sentido descendente na árvore de nomes do DNS. O segundo registro entra em vigor, o que permite que o ACM emita o certificado.
A ausência de registro de CAA significa que qualquer CA pode emitir certificados
Se você não configurar um registro CAA para o domínio solicitado, qualquer CA, incluindo o ACM, poderá emitir certificados para seu domínio. Por exemplo, o ACM pode emitir certificados para example.com no exemplo a seguir:
(Example 6 / example.com)Domain Record type Flags Tag Value www.example.com. CAA 0 issue ";" (Result: CAA passed)
Como a verificação de CAA não avança em sentido descendente na árvore do DNS, o registro é ignorado.
A verificação de registros CAA segue o registro CNAME
A verificação do registro CAA prossegue com o registro CNAME que aponta para um domínio diferente. Neste exemplo, www.example.com aponta para www.example.net, que tem um registro CAA:
(Example 7 / www.example.com)Domain Record type Flags Tag Value www.example.com. CNAME www.example.net www.example.net. CAA 0 issue ";" (Result: CAA failed)
O primeiro registro redireciona a verificação do CAA para www.example.net. Esse registro CAA impede que qualquer CA emita certificados, e o ACM não pode emitir certificados para www.example.com.
Se o domínio apontado www.example.net não tiver um registro CAA, a verificação de registros da CAA será movida para o domínio base example.com.
(Example 8 / www.example.com)Domain Record type Flags Tag Value www.example.com. CNAME www.example.net example.com. CAA 0 issue "amazon.com" (Result: CAA passed)
Nesse cenário, o ACM pode emitir certificados para www.example.com porque www.example.net não tem nenhum registro CAA configurado. Observe que a verificação de registros CAA não passa para a zona principal de um registro CNAME, e o registro CAA de example.net não é verificado. Para mais informações, consulte o ANEXO A no site do Fórum da CA/Navegador.
A tag "issue" pode ser usada tanto para domínio não curinga quanto para domínio curinga, enquanto a tag "issuewild" afeta somente o domínio curinga
A tag "issue" permite que a CA emita certificados para domínios não curinga www.example.com e domínios curinga *.example.com. Você pode usar a tag "issuewild" para indicar como uma CA lida com domínios curinga. Os exemplos a seguir mostram qual registro CAA entra em vigor quando você solicita um certificado para *.example.com:
(Example 9 / *.example.com)Domain Record type Flags Tag Value example.com. CAA 0 issue "amazon.com" (Result: CAA passed)
O registro CAA permite que o ACM emita um domínio não curinga e um certificado de domínio curinga, e o ACM pode emitir o certificado.
(Example 10 / *.example.com)Domain Record type Flags Tag Value example.com. CAA 0 issue "amazon.com" example.com. CAA 0 issuewild ";" (Result: CAA failed)
O campo de tag “issuewild” substitui “issue” para uma solicitação de domínio curinga, e o ACM não pode emitir o certificado. Observação: você deve configurar um registro CAA para example.com para permitir que a CA emita certificados para *.example.com.
(Example 11 / *.example.com)Domain Record type Flags Tag Value *.example.com. CAA 0 issuewild "amazon.com" example.com. CAA 0 issuewild ";" (Result: CAA failed)
O primeiro registro do CAA é ignorado e o segundo registro do CAA impede que a CA emita certificados para *.example.com.
O exemplo a seguir mostra qual registro CAA entra em vigor quando você solicita um certificado para *.test.example.com:
(Example 12 / *.test.example.com)Domain Record type Flags Tag Value test.example.com. CAA 0 issue "amazon.com" example.com. CAA 0 issuewild ";" (Result: CAA passed)
A verificação do CAA localiza o primeiro registro, encerra a movimentação para cima na árvore de nomes do DNS e permite que o ACM emita o certificado.
A tag “issuewild” é ignorada quando você solicita um domínio não curinga. Este exemplo mostra qual registro CAA entra em vigor quando você solicita um certificado para www.example.com:
(Example 13 / www.example.com)Domain Record type Flags Tag Value www.example.com. CAA 0 issuewild "amazon.com" example.com. CAA 0 issue ";" (Result: CAA failed)
Essa é uma solicitação de domínio não curinga, portanto, o primeiro registro CAA é ignorado. O segundo registro CAA entra em vigor e a CA não tem permissão para emitir o certificado.
Para mais informações sobre como configurar um registro CAA, consulte (Opcional) Configurar um registro de CAA.
Informações relacionadas
Registro de recurso Certification Authority Authorization (CAA) de DNS no site do Datatracker
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 3 anos
- AWS OFICIALAtualizada há um ano