Come posso risolvere l'errore CAA "Non riuscito" quando viene emesso o rinnovato un certificato ACM?

7 minuti di lettura

Ho richiesto un nuovo certificato o ho provato a rinnovare un certificato con Gestione certificati AWS (ACM), ma lo stato del nome di dominio è "Non riuscito". Lo stato della convalida è "Riuscito", anche se la richiesta del certificato non è riuscita.

Breve descrizione

Un record CAA (Certificate Authority Authorization) è un record DNS. Questo record ti consente di controllare l'autorità di certificazione (CA) che può emettere certificati per il tuo dominio. ACM controlla i record CAA per verificare che il proprietario del dominio consenta ad ACM di emettere un certificato SSL per il dominio. CAA verifica le condizioni seguenti:

Il controllo dei record CAA si sposta in alto nella struttura dei nomi DNS.
Se non vi sono record CAA, ciò significa che qualsiasi CA può emettere certificati.
Il controllo dei record CAA segue il record CNAME.
Il tag "issue" può essere utilizzato sia per domini senza caratteri jolly che per domini con caratteri jolly, mentre il tag "issuewild" ha effetto solo sui domini con caratteri jolly.

Risoluzione

Il controllo dei record CAA si sposta in alto nella struttura dei nomi DNS

Il controllo dei record CAA inizia dal dominio della richiesta e quindi si sposta verso l'alto nella struttura dei nomi DNS. Se richiedi un certificato per www.example.com, ACM cerca innanzitutto il record CAA del dominio di terzo livello www.example.com. Quindi, ACM cerca il nome di dominio di secondo livello example.com.

Dopo aver trovato il record CAA, la ricerca nei record CAA si interrompe e il record trovato diventa effettivo. Gli esempi seguenti mostrano quale record CAA diventa effettivo quando richiedi un certificato per www.example.com:

(Example 1 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA passed)

Il record per il nome di dominio di terzo livello diventa effettivo, consentendo ad ACM di emettere il certificato. Il record del nome di dominio di secondo livello non viene utilizzato.

(Example 2 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA failed)

Il primo record diventa effettivo, impediendo ad ACM di emettere il certificato. Il secondo record viene ignorato.

(Example 3 / www.example.com)Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Il primo record non influisce sul record CAA per www.example.com. Il secondo record diventa effettivo, consentendo ad ACM di emettere il certificato.

Gli esempi seguenti mostrano quale record CAA diventa effettivo quando richiedi un certificato per example.com:

(Example 4 / example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA failed)

Il primo record non diventa effettivo perché www.example.com è un sottodominio del dominio richiesto e il controllo dei record CAA non si sposta in basso nella struttura DNS. Il secondo record diventa effettivo, impediendo ad ACM di emettere il certificato.

(Example 5 / example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Il primo record viene ignorato perché www.example.com è un sottodominio del dominio richiesto e il controllo dei record CAA non si sposta in basso nell'albero dei nomi DNS. Il secondo record diventa effettivo, consentendo ad ACM di emettere il certificato.

Nessun record CAA significa che qualsiasi CA può emettere certificati

Se non configuri un record CAA per il dominio richiesto, qualsiasi CA, incluso ACM, può emettere certificati per il tuo dominio. Ad esempio, ACM può emettere certificati per example.com nell'esempio seguente:

(Example 6 / example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   ";"

(Result: CAA passed)

Poiché il controllo dei record CAA non si sposta verso il basso nella struttura DNS, il record viene ignorato.

Il controllo dei record CAA segue il record CNAME

Il controllo dei record CAA procede con il record CNAME che punta a un dominio diverso. In questo esempio, www.example.com fa riferimento a www.example.net, che ha un record CAA:

(Example 7 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
www.example.net.   CAA           0      issue   ";"

(Result: CAA failed)

Il primo record reindirizza il controllo CAA a www.example.net. Questo record CAA impedisce a qualsiasi CA di emettere certificati e ACM non può emettere certificati per www.example.com.

Se il dominio di riferimento, www.example.net, non ha un record CAA, il controllo dei record CAA si sposta in l'alto verso il dominio di base, example.com.

(Example 8 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

In questo scenario ACM può emettere certificati per www.example.com perché www.example.net non ha alcun record CAA configurato. Tieni presente che il controllo dei record CAA non si sposta in alto verso il livello principale di un record CNAME e il record CAA di example.net non viene controllato. Per ulteriori informazioni, consulta l'APPENDIX A sul sito web CA/Browser Forum.

Il tag "issue" può essere utilizzato sia per un dominio senza caratteri jolly che per un dominio con caratteri jolly, mentre il tag "issuewild" ha effetto solo su un dominio con caratteri jolly

Il tag "issue" consente alla CA di emettere certificati sia per domini senza caratteri jolly, come www.example.com, che per domini con caratteri jolly, come *.example.com. È possibile utilizzare il tag "issuewild" per indicare come una CA gestisce i domini con carattere jolly. Gli esempi seguenti mostrano quale record CAA diventa effettivo quando richiedi un certificato per *.example.com:

(Example 9 / *.example.com)Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Il record CAA consente ad ACM di emettere sia un dominio non carattere jolly che un certificato di dominio carattere jolly e ACM può emettere il certificato.

(Example 10 / *.example.com)Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

Il campo tag "issuewild" sostituisce "issue" per una richiesta di dominio carattere jolly, e ACM non può emettere il certificato. Nota: è necessario configurare un record CAA per example.com per consentire alla CA di emettere certificati per *.example.com.

(Example 11 / *.example.com)Domain   Record type  Flags  Tag      Value   
*.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

Il primo record CAA viene ignorato e il secondo record CAA impedisce alla CA di emettere certificati per *.example.com.

L'esempio seguente mostra quale record CAA diventa effettivo quando richiedi un certificato per *.test.example.com:

(Example 12 / *.test.example.com)Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA passed)

Il controllo CAA trova il primo record, termina lo spostamento verso l'alto nella struttura dei nomi DNS e consente ad ACM di emettere il certificato.

Il tag "issuewild" viene ignorato quando richiedi un dominio non carattere jolly. Questo esempio mostra quale record CAA diventa effettivo quando richiedi un certificato per www.example.com:

(Example 13 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issue   ";"

(Result: CAA failed)

Si tratta di una richiesta per un dominio senza caratteri jolly, quindi il primo record CAA viene ignorato. Il secondo record CAA diventa effettivo e la CA non è autorizzata a rilasciare il certificato.

Per ulteriori informazioni sulla configurazione di un record CAA, consulta (Facoltativo) configurazione di un record CAA.

Informazioni correlate

DNS Certification Authority Authorization (CAA) resource record sul sito web Datatracker

Argomenti

Sicurezza, identità e conformità

Tag

AWS Certificate Manager

Lingua

Italiano

AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente

Perché lo stato di rinnovo del mio certificato ACM è ancora "In attesa di convalida" dopo aver utilizzato il processo di rinnovo gestito da ACM per il mio nome di dominio?
AWS UFFICIALEAggiornata un anno fa
Perché non posso inviare nuovamente l'e-mail di convalida da ACM per rinnovare un certificato?
AWS UFFICIALEAggiornata un anno fa
Perché la richiesta di certificato ACM non è riuscita?
AWS UFFICIALEAggiornata 6 mesi fa
Perché non ricevo e-mail di convalida quando utilizzo ACM per emettere o rinnovare un certificato?
AWS UFFICIALEAggiornata 3 anni fa