CAA — это DNS-запись, которая указывает центрам сертификации, кто имеет право выпускать SSL-сертификаты для домена. Если CAA настроена слишком строго, бесплатный SSL может не выпускаться даже при правильном направлении домена на сервер.
Когда CAA имеет значение
- Домен раньше использовал другого хостинг-провайдера или CDN.
- Плагин безопасности или DNS-провайдер автоматически добавил CAA-записи.
- У домена есть поддомены или wildcard-сертификаты.
- При выпуске SSL появляется ошибка с упоминанием CAA, issuer или authorization.
Что проверить
- Проверьте текущие CAA-записи для основного домена и нужного поддомена.
- Если CAA-записей нет, большинство центров сертификации могут выпускать сертификаты обычным образом.
- Если CAA-записи есть, убедитесь, что центр сертификации, который использует ваша панель, разрешен.
- После изменения CAA дождитесь обновления DNS и повторите выпуск SSL.
Пример
CAA-запись может выглядеть так:
example.com. CAA 0 issue "letsencrypt.org"Это означает, что Let’s Encrypt разрешено выпускать сертификаты для домена. Если панель хостинга использует другой центр сертификации, разрешенное значение может отличаться.
В ошибке SSL есть CAA?
Пришлите домен и текст ошибки SSL. Мы проверим, не блокируют ли CAA-записи выпуск сертификата.
Проверить CAA для SSL