CAA — это DNS-запись, которая указывает центрам сертификации, кто имеет право выпускать SSL-сертификаты для домена. Если CAA настроена слишком строго, бесплатный SSL может не выпускаться даже при правильном направлении домена на сервер.
Когда CAA имеет значение
- Домен раньше использовал другого хостинг-провайдера или CDN.
- Плагин безопасности или DNS-провайдер автоматически добавил CAA-записи.
- У домена есть поддомены или wildcard-сертификаты.
- При выпуске SSL появляется ошибка с упоминанием CAA, issuer или authorization.
Что проверить
- Проверьте текущие CAA-записи для основного домена и нужного поддомена.
- Если CAA-записей нет, большинство центров сертификации могут выпускать сертификаты обычным образом.
- Если CAA-записи есть, убедитесь, что центр сертификации, который использует ваша панель, разрешен.
- После изменения CAA дождитесь обновления DNS и повторите выпуск SSL.
Пример
CAA-запись может выглядеть так:
example.com. CAA 0 issue "letsencrypt.org"Это означает, что Let’s Encrypt разрешено выпускать сертификаты для домена. Если панель хостинга использует другой центр сертификации, разрешенное значение может отличаться.
Пришлите домен и текст ошибки SSL. Мы проверим, не блокируют ли CAA-записи выпуск сертификата.
Проверить CAA для SSLКак проверить DNS без лишнего риска
DNS-настройки лучше менять поэтапно: сначала понять, где расположена активная DNS-зона, затем проверить текущие записи и только после этого вносить изменения. Если домен использует внешние NS-серверы, правки в панели хостинга могут не повлиять на работу сайта или почты.
- проверьте активные NS-серверы домена;
- сравните A, MX, TXT и CNAME-записи с ожидаемыми значениями;
- учитывайте TTL и кэш провайдеров;
- после изменения проверьте результат через несколько независимых сервисов.
Особенно аккуратно нужно работать с MX, SPF, DKIM и DMARC: ошибка в этих записях может не сломать сайт, но повлиять на доставку доменной почты.
Что подготовить перед обращением
Чтобы поддержка GoodNet быстрее разобралась с вопросом по теме «CAA-записи DNS: почему может не выпускаться SSL-сертификат», укажите домен, услугу, время появления проблемы, что менялось перед этим и приложите точный текст ошибки или скриншот. Это помогает сразу перейти к диагностике, а не тратить время на уточнение базовых данных.
