CAA (Certificate Authority Authorization) violation — DNS CAA-запись домена не разрешает указанному CA выпускать cert. Let's Encrypt, DigiCert и другие CAs проверяют CAA перед issuance. Если CAA указывает "только digicert.com", а вы запрашиваете у Let's Encrypt — refuse. Исправление: добавить CA в CAA или убрать CAA запись.
Ниже: причины, исправление, FAQ.
Бесплатный онлайн-инструмент — SSL-чекер: результат мгновенно, без регистрации.
issuewild) не разрешает CA для wildcard certs; в value — syntax error, эффективно "no CA allowed"example.com. IN CAA 0 issue "letsencrypt.org"example.com. IN CAA 0 issuewild "letsencrypt.org"Ошибка CAA violation указывает на то, что сертификат SSL не был выдан авторизованным центром сертификации (CA), что может привести к проблемам с безопасностью вашего веб-сайта. Для решения этой проблемы необходимо проверить настройки записи CAA (Certification Authority Authorization) вашего домена. Убедитесь, что запись CAA разрешает использование конкретного CA для выдачи сертификатов для вашего домена.
Запись CAA (Certification Authority Authorization) — это механизм, который позволяет владельцам доменов указывать, какие центры сертификации имеют право выдавать сертификаты для их домена. Это добавляет дополнительный уровень безопасности, позволяя избежать несанкционированного выпуска сертификатов. Если у вас есть записи CAA, и они не позволяют использовать CA, который вы выбрали для своего сертификата, вы получите ошибку CAA violation.
Записи CAA могут выглядеть следующим образом:
example.com. CAA 0 issue "letsencrypt.org"В этом примере только Let's Encrypt имеет право выдавать сертификаты для домена example.com. Если вы попытаетесь установить сертификат от другого CA, вы получите ошибку CAA violation.
example.com. CAA 0 issue "your-ca.com"example.com. CAA 0 issuewild "your-ca.com" — для поддоменовЧтобы избежать ошибок, всегда проверяйте, что записи CAA соответствуют центру сертификации, который вы используете.
Рассмотрим ситуацию, когда вы столкнулись с ошибкой CAA violation при установке сертификата от центра сертификации DigiCert. Чтобы исправить эту ошибку, выполните следующие шаги:
dig для проверки существующих записей CAA вашего домена.dig example.com CAAexample.com. CAA 0 issue "digicert.com"dig для проверки новых записей CAA и убедитесь, что они корректны.После внесения изменений попробуйте снова установить сертификат. Если все сделано правильно, ошибка CAA violation должна исчезнуть.
Ошибка CAA violation указывает на то, что сертификат SSL не был выдан авторизованным центром сертификации (ЦС), указанным в записи CAA вашего домена. Чтобы решить эту проблему, необходимо проверить настройки записи CAA в DNS и убедиться, что выбранный ЦС включен в список разрешенных. Для этого используйте команду dig CAA ваш_домен в терминале, чтобы получить текущие записи CAA и при необходимости обновить их.
Записи CAA (Certification Authority Authorization) позволяют владельцам доменов контролировать, какие центры сертификации могут выдавать SSL-сертификаты для их доменов. Это дополнительный уровень безопасности, который помогает предотвратить несанкционированную выдачу сертификатов. Если вы столкнулись с ошибкой CAA violation, это означает, что текущий SSL-сертификат не соответствует записям CAA вашего домена.
Используйте команду dig CAA ваш_домен для получения списка текущих записей CAA. Например:
dig CAA example.comВывод может выглядеть следующим образом:
example.com. 3600 IN CAA 0 issue "letsencrypt.org"
example.com. 3600 IN CAA 0 issuewild "letsencrypt.org"В этом случае только Let's Encrypt имеет право выдавать сертификаты для домена example.com.
Если ваш текущий SSL-сертификат был выдан другим ЦС, вам необходимо добавить его в записи CAA. Например, если вы используете DigiCert, добавьте следующую запись:
example.com. 3600 IN CAA 0 issue "digicert.com"После внесения изменений в записи CAA, подождите некоторое время, чтобы обновления вступили в силу. Обычно это занимает от нескольких минут до нескольких часов, в зависимости от времени жизни (TTL) ваших DNS-записей.
После того как вы внесли изменения, проверьте, что сертификат установлен правильно, используя команду:
openssl s_client -connect ваш_домен:443 -servername ваш_доменЭто даст вам информацию о текущем сертификате и его соответствии записям CAA. Убедитесь, что в выводе нет ошибок, связанных с CAA violation.
Таким образом, правильная настройка записей CAA является важным шагом в обеспечении безопасности вашего домена и предотвращении ошибок CAA violation при установке SSL-сертификатов.
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
мониторинг SSL-сертификатов
аудит TLS-конфигурации
HTTPS как фактор ранжирования
доверие покупателей
www и поддомены.Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Удалите все CAA records. Тогда любой CA может issue. CAA опционален — по умолчанию никаких ограничений.
CA перед issuance (обязательно для public CA с 2017). Browsers не проверяют CAA.
Нет. iodef — email для уведомления при попытке мiss-issuance. Полезно, но опционально.
<a href="/dns">Enterno DNS</a> → CAA type. Или <code>dig CAA example.com</code>.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.