酷居科技今天在DA面板上给域名加SSL证书(Let’s Encrypt)时,偶然发现有几个域名报错。提示:
CAA record prevents issuing the certificate: SERVFAIL字面上意思是,CAA记录阻止了ssl证书的颁发。于是查了一下什么是域名的CAA记录。
强制CAA检查的提议
2017年3月7日,CA|B Forum (一个全球证书颁发机构与浏览器的技术论坛)发起了一项关于对域名强制检查CAA的一项提议的投票,获得187票支持,投票有效,提议通过。
提议通过后,将于2017年9月8日根据Mozilla的Gervase Markham提出的检查CAA记录作为基准要求来实施。
什么是CAA记录?
CAA,全称Certificate Authority Authorization,即证书颁发机构授权。它为了改善PKI(Public Key Infrastructure:公钥基础设施)生态系统强度、减少证书意外错误发布的风险,通过DNS机制创建CAA资源记录,从而限定了特定域名颁发的证书和CA(证书颁发机构)之间的联系。从此,再也不能是任意CA都可以为任意域名颁发证书了。
关于CAA记录,其实早在4年前便在RFC 6844中有定义,但由于种种原因配置该DNS资源记录的网站寥寥无几。如今,SSL证书在颁发之前对域名强制CAA检查,就对想要https访问的网站域名提出了解析配置的要求。
简单的说就是,域名解析上增加的一种可以限制证书颁发的一种记录。所以这种情况,一般是之前的域名被用过,并设置过CAA记录,你买过来之后记录并没有完全清除,到后台去设置CAA记录或者取消CAA记录就行。
参考链接:https://segmentfault.com/a/1190000011097942
另外,经实战处理,如果按照上面都解决不了。那么你可以尝试给域名更换dns服务器。也许就能解决了。
