Guida e risoluzione dei problemi
Record CAA
Di cosa si tratta
I record CAA autorizzano quali autorità di certificazione possono emettere certificati TLS per il dominio. Le CA sono obbligate a controllare il CAA prima di emettere; una CA non presente nell'elenco deve rifiutare.
Come leggere il risultato
L'assenza di record CAA significa che qualsiasi CA può emettere (l'impostazione predefinita pre-CAA, comune e accettabile). Se esistono record, assicurati che ogni CA che usi effettivamente sia elencata, comprese quelle usate indirettamente dalla tua CDN o piattaforma di hosting.
Problemi comuni e come risolverli
Il CAA blocca la CA usata dalla tua automazione
Come si manifesta: Il rinnovo del certificato inizia improvvisamente a fallire (Let's Encrypt o la tua CDN segnalano un errore CAA) e il sito mostra un avviso di certificato scaduto una volta scaduto quello vecchio.
Come risolverlo: Aggiungi una voce issue per la CA, ad es. 0 issue "letsencrypt.org", insieme alle voci esistenti. Ricorda che piattaforme come Cloudflare o Netlify emettono tramite i propri partner CA: controlla la loro documentazione per sapere quali voci CAA necessitano.
Il CAA presente sul genitore di un sottodominio contraddice ciò di cui il sottodominio ha bisogno
Come si manifesta: I certificati vengono emessi correttamente per il sito principale ma falliscono per un sottodominio ospitato su una piattaforma diversa.
Come risolverlo: Il CAA viene ereditato dall'antenato più vicino che ne ha uno. O estendi il CAA del genitore per includere la CA del sottodominio, oppure imposta un record CAA specifico sul sottodominio stesso, che sovrascrive quello del genitore per quel nome.