ServerRecords

Guida e risoluzione dei problemi

Record CAA

Di cosa si tratta

I record CAA autorizzano quali autorità di certificazione possono emettere certificati TLS per il dominio. Le CA sono obbligate a controllare il CAA prima di emettere; una CA non presente nell'elenco deve rifiutare.

Come leggere il risultato

L'assenza di record CAA significa che qualsiasi CA può emettere (l'impostazione predefinita pre-CAA, comune e accettabile). Se esistono record, assicurati che ogni CA che usi effettivamente sia elencata, comprese quelle usate indirettamente dalla tua CDN o piattaforma di hosting.

Problemi comuni e come risolverli

Il CAA blocca la CA usata dalla tua automazione

Come si manifesta: Il rinnovo del certificato inizia improvvisamente a fallire (Let's Encrypt o la tua CDN segnalano un errore CAA) e il sito mostra un avviso di certificato scaduto una volta scaduto quello vecchio.

Come risolverlo: Aggiungi una voce issue per la CA, ad es. 0 issue "letsencrypt.org", insieme alle voci esistenti. Ricorda che piattaforme come Cloudflare o Netlify emettono tramite i propri partner CA: controlla la loro documentazione per sapere quali voci CAA necessitano.

Il CAA presente sul genitore di un sottodominio contraddice ciò di cui il sottodominio ha bisogno

Come si manifesta: I certificati vengono emessi correttamente per il sito principale ma falliscono per un sottodominio ospitato su una piattaforma diversa.

Come risolverlo: Il CAA viene ereditato dall'antenato più vicino che ne ha uno. O estendi il CAA del genitore per includere la CA del sottodominio, oppure imposta un record CAA specifico sul sottodominio stesso, che sovrascrive quello del genitore per quel nome.

Esegui una ricerca per questo record