CAA — это DNS-запись, которая указывает центрам сертификации, кто имеет право выпускать SSL-сертификаты для домена. Если CAA настроена слишком строго, бесплатный SSL может не выпускаться даже при правильном направлении домена на сервер.

Когда CAA имеет значение

  • Домен раньше использовал другого хостинг-провайдера или CDN.
  • Плагин безопасности или DNS-провайдер автоматически добавил CAA-записи.
  • У домена есть поддомены или wildcard-сертификаты.
  • При выпуске SSL появляется ошибка с упоминанием CAA, issuer или authorization.

Что проверить

  1. Проверьте текущие CAA-записи для основного домена и нужного поддомена.
  2. Если CAA-записей нет, большинство центров сертификации могут выпускать сертификаты обычным образом.
  3. Если CAA-записи есть, убедитесь, что центр сертификации, который использует ваша панель, разрешен.
  4. После изменения CAA дождитесь обновления DNS и повторите выпуск SSL.

Пример

CAA-запись может выглядеть так:

example.com.  CAA 0 issue "letsencrypt.org"

Это означает, что Let’s Encrypt разрешено выпускать сертификаты для домена. Если панель хостинга использует другой центр сертификации, разрешенное значение может отличаться.

В ошибке SSL есть CAA?

Пришлите домен и текст ошибки SSL. Мы проверим, не блокируют ли CAA-записи выпуск сертификата.

Проверить CAA для SSL

Как проверить DNS без лишнего риска

DNS-настройки лучше менять поэтапно: сначала понять, где расположена активная DNS-зона, затем проверить текущие записи и только после этого вносить изменения. Если домен использует внешние NS-серверы, правки в панели хостинга могут не повлиять на работу сайта или почты.

  • проверьте активные NS-серверы домена;
  • сравните A, MX, TXT и CNAME-записи с ожидаемыми значениями;
  • учитывайте TTL и кэш провайдеров;
  • после изменения проверьте результат через несколько независимых сервисов.

Особенно аккуратно нужно работать с MX, SPF, DKIM и DMARC: ошибка в этих записях может не сломать сайт, но повлиять на доставку доменной почты.

Что подготовить перед обращением

Чтобы поддержка GoodNet быстрее разобралась с вопросом по теме «CAA-записи DNS: почему может не выпускаться SSL-сертификат», укажите домен, услугу, время появления проблемы, что менялось перед этим и приложите точный текст ошибки или скриншот. Это помогает сразу перейти к диагностике, а не тратить время на уточнение базовых данных.