Letsencrypt:可以为 test.www.domain.com 注册证书吗?
Letsencrypt: possible to register certificate for test.www.domain.com?
正在为 domain.com 注册证书,包括几个子域。除了一个sub-subdomain,所有的domains,subdomains和sub-subdomains都添加到证书中。
唯一不断出现的错误是域 test.www.domain.com
domain.com -> 有效
www.domain.com -> 作品
test.xyz.domain.com -> 有效
test.www.domain.com -> 不起作用
一个网页是 运行 在域 http://test.www.domain.com 上并且完全可以在端口 80 上访问。同时 ping 到这个特定的 URL 提供了一个正确回答。
因此,我的问题是有没有办法将全域 test.www.domain.com 添加到证书中,或者这个 test.www 不知何故无效 URL?
来自 Certbot 的详细错误消息:
Failed authorization procedure. test.www.domain.com (http-01):
urn:acme:error:connection :: The server could not connect to the
client to verify the domain :: DNS problem: SERVFAIL looking up CAA
for test.www.domain.com
最近这已成为众所周知的问题。
如错误消息所述,DNS 端配置错误:
DNS problem: SERVFAIL looking up CAA for test.www.domain.com
CAA(证书颁发机构授权)记录旨在允许域名所有者定义哪些证书颁发机构可以为该特定域名颁发证书。它是一种相对较新的 DNS 记录类型,一些 DNS 提供商仍然未能正确实施它,但是公众信任的证书颁发机构必须支持 CAA.
如果 CAA 记录正确实施或根本未实施,则不会出现此问题。
但是当 DNS 查找 CAA 记录 returns SERVFAIL 状态时,Let's Encrypt 将拒绝验证域名。
这里对应的是announcement from Let's Encrypt:
最初实施 CAA 时,我们 运行 遇到了很多问题,各种 DNS 提供商无法正确支持对该记录类型的查询。因此,当 DNS 服务器 return 向 CAA 查询的 SERVFAIL 错误代码而不是预期的 NOERRROR 代码时,我们实施了 soft-fail 行为。
在过去一年半的时间里,我们与许多此类提供商合作以实现规范合规性,但仍有一些提供商配置错误。但是,我们正在朝着严格执行 CAA 的方向发展,其中 SERVFAIL 响应将阻止发布。这也符合即将到来的行业要求:CA/Browser Forum Baseline Requirements.
很快将要求所有 CA 对 CAA 进行检查
正在为 domain.com 注册证书,包括几个子域。除了一个sub-subdomain,所有的domains,subdomains和sub-subdomains都添加到证书中。
唯一不断出现的错误是域 test.www.domain.com
domain.com -> 有效
www.domain.com -> 作品
test.xyz.domain.com -> 有效
test.www.domain.com -> 不起作用
一个网页是 运行 在域 http://test.www.domain.com 上并且完全可以在端口 80 上访问。同时 ping 到这个特定的 URL 提供了一个正确回答。
因此,我的问题是有没有办法将全域 test.www.domain.com 添加到证书中,或者这个 test.www 不知何故无效 URL?
来自 Certbot 的详细错误消息:
Failed authorization procedure. test.www.domain.com (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: DNS problem: SERVFAIL looking up CAA for test.www.domain.com
最近这已成为众所周知的问题。 如错误消息所述,DNS 端配置错误:
DNS problem: SERVFAIL looking up CAA for test.www.domain.com
CAA(证书颁发机构授权)记录旨在允许域名所有者定义哪些证书颁发机构可以为该特定域名颁发证书。它是一种相对较新的 DNS 记录类型,一些 DNS 提供商仍然未能正确实施它,但是公众信任的证书颁发机构必须支持 CAA.
如果 CAA 记录正确实施或根本未实施,则不会出现此问题。
但是当 DNS 查找 CAA 记录 returns SERVFAIL 状态时,Let's Encrypt 将拒绝验证域名。
这里对应的是announcement from Let's Encrypt:
最初实施 CAA 时,我们 运行 遇到了很多问题,各种 DNS 提供商无法正确支持对该记录类型的查询。因此,当 DNS 服务器 return 向 CAA 查询的 SERVFAIL 错误代码而不是预期的 NOERRROR 代码时,我们实施了 soft-fail 行为。
在过去一年半的时间里,我们与许多此类提供商合作以实现规范合规性,但仍有一些提供商配置错误。但是,我们正在朝着严格执行 CAA 的方向发展,其中 SERVFAIL 响应将阻止发布。这也符合即将到来的行业要求:CA/Browser Forum Baseline Requirements.
很快将要求所有 CA 对 CAA 进行检查