Base de Conhecimento

3.15 Como corrigir problemas de emissão relacionados a CAA no SSL/TLS

Problemas de emissão relacionados a CAA ocorrem quando os registros DNS do domínio restringem quais autoridades certificadoras podem emitir o SSL.

Na prática, se o domínio tiver um CAA que não autoriza a autoridade usada no processo, a emissão automática ou manual poderá falhar até que o registro seja corrigido.

Como acessar o cPanel

https://seudominio.com.br/cpanel
https://seudominio.com.br:2083
pela área do cliente MyWay

Além do cPanel, este ajuste normalmente envolve também a área de DNS, como o Zone Editor ou o gerenciador de zona DNS do provedor responsável pelo domínio.

Como corrigir problemas de emissão relacionados a CAA no SSL/TLS

O que é CAA

CAA significa Certificate Authority Authorization.

Esse registro DNS informa quais autoridades certificadoras estão autorizadas a emitir certificados para o domínio.

Se não existir nenhum CAA definido, em regra não há restrição específica de emissor. Mas se existir, a autoridade usada precisa estar autorizada.

Sinais de que o problema pode ser CAA

falha de emissão do AutoSSL
mensagens como CA forbidden
domínio com DNS aparentemente correto, mas emissão bloqueada

Se o domínio tiver CAA apontando para outra autoridade, o AutoSSL baseado em Let’s Encrypt poderá não conseguir emitir o certificado.

Passo 1 – Verificar se há registro CAA

Confira a zona DNS do domínio no gerenciador de DNS utilizado.

Se o domínio usa DNS no cPanel, normalmente você pode acessar o Zone Editor.

Passo 2 – Identificar qual CA precisa ser autorizada

Se a emissão será feita por Let’s Encrypt, o domínio precisa permitir esse emissor no CAA.

Um exemplo comum é:

example.com. IN CAA 0 issue "letsencrypt.org"

Esse tipo de autorização é especialmente importante quando o domínio já possui outros registros CAA restritivos.

Passo 3 – Ajustar ou remover o CAA conflitante

Se houver registros CAA apontando apenas para outra autoridade certificadora, você pode:

adicionar autorização para a CA correta
ou remover o registro conflitante, se isso fizer sentido para sua política

Faça a alteração com cuidado, respeitando a política de segurança e as exigências do ambiente.

Passo 4 – Aguardar propagação e testar novamente

Depois da alteração no DNS, aguarde a atualização e tente novamente a emissão do certificado.

Em muitos casos, o problema é resolvido assim que o registro válido passa a ser reconhecido.

Observação sobre issue e issuewild

Em CAA, é comum encontrar propriedades como issue e issuewild.

issue controla a emissão normal e, na ausência de regra mais específica, também a lógica geral da autorização
issuewild é usado para controlar emissão de certificados wildcard

Se você não precisa de política separada para wildcard, normalmente a regra de issue já é a principal referência.

Resultado esperado

Ao final, o domínio terá um CAA compatível com a autoridade certificadora utilizada e a emissão do SSL poderá prosseguir normalmente.

Resumo:

1. Verifique se existe registro CAA
2. Confirme qual autoridade está tentando emitir o certificado
3. Adicione ou ajuste a autorização correta
4. Aguarde propagação do DNS
5. Tente novamente a emissão do SSL

Atenciosamente,
MyWay Hosting
Servidores Otimizados por inteligência artificial
www.myway.com.br

0 Usuários acharam útil