¿Cómo puedo resolver los errores de la CAA al emitir o renovar un certificado de ACM?

8 minutos de lectura

He solicitado un certificado nuevo o he intentado renovar un certificado con AWS Certificate Manager (ACM). El estado del nombre de dominio es «Fallo» y he recibido un error similar al siguiente: «La solicitud ha fallado. El estado de este certificado es “Fallo”. No se han podido validar uno o más nombres de dominio debido a un error de autenticación de la autoridad de certificación (CAA).» El estado de validación es «Correcto», aunque se haya producido un error en la solicitud del certificado.

Breve descripción

Un registro de autorización de la autoridad de certificación (CAA) es un registro DNS que le permite controlar qué autoridad de certificación (CA) puede emitir certificados para su dominio o subdominio. Al solicitar o renovar un certificado de ACM, ACM comprueba los registros de la CAA para comprobar que el propietario del dominio permite a ACM emitir un certificado SSL para el dominio. Las comprobaciones de la CAA realizadas tienen las siguientes condiciones:

La comprobación de registros de la CAA asciende en el árbol de nombres DNS
La ausencia de un registro de la CAA significa que cualquier CA puede emitir certificados
La comprobación de registros de la CAA sigue al registro CNAME
La etiqueta «issue» se puede usar tanto para el dominio no comodín como para el dominio comodín, mientras que la etiqueta «issuewild» solo afecta al dominio comodín

Resolución

La comprobación de registros de la CAA asciende en el árbol de nombres DNS

La comprobación de registros de la CAA comienza en el dominio de solicitud y, a continuación, asciende en el árbol de nombres DNS. Si solicita un certificado para www.ejemplo.com, ACM comprueba primero el registro de la CAA del dominio de tercer nivel www.ejemplo.com, seguido del nombre de dominio de segundo nivel ejemplo.com.

Una vez encontrado el registro de la CAA, la búsqueda CAA se detiene y el registro entra en vigor. Los siguientes ejemplos muestran qué registro de la CAA entra en vigor al solicitar un certificado para www.ejemplo.com:

(Example 1 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA passed)

El registro del nombre de dominio de tercer nivel entra en vigor, lo que permite a ACM emitir el certificado. No se utiliza el registro de nombres de dominio de segundo nivel.

(Example 2 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA failed)

El primer registro entra en vigor, lo que impide que ACM emita el certificado. Se ignora el segundo registro.

(Example 3 / www.example.com)
Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

El primer registro no afecta al registro de la CAA de www.ejemplo.com. El segundo registro entra en vigor, lo que permite a ACM emitir el certificado.

Los siguientes ejemplos muestran qué registro de la CAA entra en vigor al solicitar un certificado para ejemplo.com:

(Example 4 / example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA failed)

No se tiene en cuenta el primer registro porque www.ejemplo.com es un subdominio del dominio solicitado y la comprobación de registros de la CAA no desciende en el árbol de DNS. El segundo registro entra en vigor, lo que impide que ACM emita el certificado.

(Example 5 / example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

El primer registro se ignora porque www.ejemplo.com es un subdominio del dominio solicitado y la comprobación de registros de la CAA no desciende en el árbol de nombres de DNS. El segundo registro entra en vigor, lo que permite a ACM emitir el certificado.

La ausencia de un registro de la CAA significa que cualquier CA puede emitir certificados

Si no configura un registro de la CAA para el dominio solicitado, cualquier CA, incluido ACM, puede emitir certificados para su dominio. Por ejemplo, ACM puede emitir certificados para ejemplo.com en el siguiente ejemplo:

(Example 6 / example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   ";"

(Result: CAA passed)

Como la comprobación de la CAA no desciende en el árbol de DNS, se ignora el registro.

La comprobación de registros de la CAA sigue al registro CNAME

La comprobación de registros de la CAA continúa con el registro CNAME que apunta a un dominio diferente. En este ejemplo, www.ejemplo.com apunta a www.ejemplo.net, que tiene un registro de la CAA:

(Example 7 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
www.example.net.   CAA           0      issue   ";"

(Result: CAA failed)

El primer registro desvía la comprobación de la CAA a www.ejemplo.net. Este registro de la CAA impide que ninguna CA emita certificados, y ACM no puede emitir certificados para www.ejemplo.com.

Si el dominio apuntado (www.ejemplo.net) no tiene un registro de la CAA, la comprobación de registros de la CAA asciende al dominio base (ejemplo.com).

(Example 8 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

En esta situación, ACM puede emitir certificados para www.ejemplo.com porque www.ejemplo.net no tiene ningún registro de la CAA configurado. Tenga en cuenta que la comprobación de registros de la CAA no asciende al elemento principal de un registro CNAME y que el registro de la CAA de ejemplo.net no se ha comprobado. Para obtener más información, consulte el APÉNDICE A en Requisitos básicos para la emisión y administración de certificados de confianza pública.

La etiqueta «issue» se puede usar tanto para el dominio no comodín como para el dominio comodín, mientras que la etiqueta «issuewild» solo afecta al dominio comodín

La etiqueta «issue» permite a la CA emitir certificados tanto para dominios que no sean comodín (www.ejemplo.com) como para dominios comodín (*.ejemplo.com). Puede utilizar la etiqueta «issuewild» para indicar cómo una CA gestiona los dominios comodín. Los siguientes ejemplos muestran qué registro de la CAA entra en vigor al solicitar un certificado para *.ejemplo.com:

(Example 9 / *.example.com)
Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

El registro de la CAA permite a ACM emitir tanto un certificado de dominio no comodín como un certificado de dominio comodín, y ACM puede emitir el certificado.

(Example 10 / *.example.com)
Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

El campo de etiqueta «issuewild» invalida «issue» en una solicitud de dominio comodín, y ACM no puede emitir el certificado.

Nota: Debe configurar un registro de la CAA para ejemplo.com a fin de permitir que la CA emita certificados para *.ejemplo.com.

(Example 11 / *.example.com)
Domain   Record type  Flags  Tag      Value   
*.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

El primer registro de la CAA se ignora y el segundo registro de la CAA impide que la CA emita certificados para *.ejemplo.com.

El siguiente ejemplo muestra qué registro de la CAA entra en vigor al solicitar un certificado para \ *.prueba.ejemplo.com:

(Example 12 / *.test.example.com)
Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA passed)

La comprobación de la CAA busca el primer registro, finaliza el ascenso en el árbol de nombres de DNS y permite a ACM emitir el certificado.

La etiqueta «issuewild» se ignora cuando solicita un dominio que no sea comodín. En este ejemplo se muestra qué registro de la CAA entra en vigor al solicitar un certificado para www.ejemplo.com:

(Example 13 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issue   ";"

(Result: CAA failed)

Se trata de una solicitud de dominio que no es comodín, por lo que se ignora el primer registro de la CAA. El segundo registro de la CAA entra en vigor y las CA no pueden emitir el certificado.

Para obtener más información sobre la creación de un registro de la CAA, consulte Configurar un registro de la CAA (opcional).

Información relacionada

Registro de recursos de autorización de la autoridad de certificación (CAA) de DNS

Temas

Seguridad, identidad y cumplimiento

Etiquetas

AWS Certificate Manager

Idioma

Español

OFICIAL DE AWSActualizada hace 2 años

Contenido relevante

¿Por qué no recibo correos electrónicos de validación cuando utilizo ACM para emitir o renovar un certificado?
OFICIAL DE AWSActualizada hace 2 años
¿Por qué recibí un error de permiso GetBucketACL de Amazon S3 al actualizar la configuración de CRL de la autoridad de certificación privada de ACM?
OFICIAL DE AWSActualizada hace 2 años
¿Puedo anclar una aplicación que se ejecuta en AWS a un certificado emitido por ACM?
OFICIAL DE AWSActualizada hace un año
¿Cómo soluciono los errores al emitir un nuevo certificado ACM-PCA?
OFICIAL DE AWSActualizada hace 2 años