1. Főoldal
2. Támogatás
3. SSL/TLS tanúsítványok hitelesítése
4. A CAA-rekord megakadályozhatja a tanúsítvány kiadását

A CAA-rekord megakadályozhatja a tanúsítvány kiadását

A CAA a DNS-rekordok azon típusának rövidítése, amely meghatározza, hogy a domain DNS-zónájában melyik hitelesítő hatóság állíthat ki tanúsítványt a domain számára. Megakadályozza, hogy a kiválasztott hatóságtól eltérő hatóság esetleg hamis tanúsítványt állítson ki. Ez az eszköz azonban gyakran megakadályozza ügyfeleinket abban, hogy a DigiCert tanúsítványát állítsák ki, ezért bemutatjuk, hogyan lehet ezt a helyzetet orvosolni.

Miért használják a CAA rekordot?

Amennyiben olyan helyzet áll elő, hogy egy "nem minősített" hitelesítő hatóság megbízást kap egy tanúsítvány kiállítására az Ön domainje számára, úgy előbb a CAA rekorban engedélyeztetnie kell azt a domain tulajdonosának. A tanúsítványt ilyen esetben nem tudja automatikusan kiállítani a tanúsítványt. A világ összes hitelesítő hatósága köteles tiszteletben tartani a CAA-rekordot, ezzel is hatékony védelmi eszközt nyújtva a domain tulajdonosának. A CAA-rekord azonban gyakran megakadályozza, hogy ügyfeleink a DigiCert tanúsítványt állítsanak ki, és erről legtöbbször nem is tudnak. Megmutatjuk tehát, hogyan oldható meg ez a helyzet.

Mi a teendő, ha a tanúsítványt nem lehet kiállítani

Ha a tanúsítványban szereplő domain, vagy akár a vállalat is már hitelesített, a legtöbb esetben a DNS-ben lévő CAA rekord az egyetlen, ami megakadályozza a tanúsítványok kiadását. A tanúsítványok hitelesítésének állapotát könnyen ellenőrizheti az ügyfélfiókjban, de a CAA rekord kizárólag az Ön hatásköre. Ellenőriznie kell a hitelesített domain DNS-bejegyzéseit; ezek szerkesztését azonban csak olyan személy tudja végrehajtani, aki hozzáféréssel rendelkezik a domain DNS-bejegyzéseihez.

CAA rekordok ellenőrzése a DNS-ben

Nyisson meg egy DNS-ellenőrző eszközt - például a Google Dig-et, vagy használja a dig-et a parancssorban. Ellenőrizze a CAA rekordok meglétét az ellenőrzött domainhez - a Google Dig esetében adja meg a nevet a Név mezőbe, és kattintson a CAA típusra.

Azonnal látni fogja az eredményt - vagy be van állítva egy CAA rekordot a domainhez, és látni fogni fogja azt a boxban az érvényességével (TTL) együtt, vagy a válasz az lesz, hogy Record not found! (azaz nincs CAA-nyilvántartás, és ezért nem is tudná blokkolni a kiadást).

Íme egy példa az "ütközésre" - az alábbi domainhez csak egy idegen hitelesítő hatóság van hozzárendelve, ami azt jelenti, hogy a DigiCert nem tud tanúsítványt kiállítani erre a domainre. ;; ANSWER SECTION:
domain.hu 600 IN CAA 1 issue "letsencrypt.org"

CAA rekord szerkesztése vagy törlése

Ha egy domainnek ilyen "ütköző" CAA rekord van beállítva a DNS-ben, akkor szerkesztenie kell a tartomány DNS-zónáját. Ezt a domain regisztrátornál vagy a rendszergazdánál teheti meg, nekünk nincs hozzáférésünk a domain DNS-hez.

Ütközés esetén két lehetősége van: vagy hozzáad egy CAA rekordot a digicert.com-hoz, ami a kínálatunkban szereplő összes hitelesítésszolgáltató esetében működik, vagy törli az ütközés rekordját. A mi esetünkben a domain CAA rekordjai így nézhetnek ki: ;; ANSWER SECTION:
domain.hu 600 IN CAA 1 issue "letsencrypt.org"
domain.hu 600 IN CAA 1 issue "digicert.com"

A módosítás után a tanúsítványt automatikusan kiállítják. Mivel a módosítás jellemzően egy órán belül lép hatályba, addigra a DigiCert is lekérdezi majd kiállítja a tanúsítványt. Minden más esetben ne habozzon fel venni a kapcsolatot ügyfélszolgálatunkkal.