Perguntas frequentes sobre Autorização da Autoridade de Certificação (CAA)

Este artigo responde a diversas perguntas comuns sobre os registros DNS de CAA.


O que é CAA?

Um registro de Autorização da Autoridade de Certificação (CAA) permite que os proprietários de domínio restrinjam a emissão para as Autoridades de Certificação (CAs) especificadas. Os registros de CAA previnem que as CAs emitam certificados sob determinadas circunstâncias.  Consulte o RFC 6844 para obter mais detalhes.


Como a Cloudflare avalia os registros de CAA?

Os registros de CAA são avaliados por uma CA, não pela Cloudflare.

A configuração de um registro de CAA para especificar uma ou mais CAs em especial não afeta quais CAs a Cloudflare usará para emitir um certificado SSL Universal ou Dedicated para o seu domínio.

Por que devo desativar o Universal SSL se meus registros de CAA excluírem a emissão do Universal SSL?

Já que os certificados Universal SSL são compartilhados entre clientes, seus registros de CAA podem prevenir a emissão do Universal SSL de outro cliente. Portanto, a Cloudflare precisa desativar o Universal SSL do seu domínio para garantir que seus registros de CAA não afetem outro cliente.

Os registros de CAA são adicionados automaticamente para as CAs provedoras de Universal SSL comodoca.com, DigiCert.com e letsencrypt.org se o Universal SSL da Cloudflare estiver ativado para o seu domínio.

Se você não precisar do Universal SSL da Cloudflare, desative o Universal SSL no aplicativo SSL/TLS.

Desativar o Universal SSL deixará seus registros DNS habilitados para a Cloudflare sem suporte de SSL, a menos que você tenha carregado um certificado SSL personalizado (requer os planos Business ou Enterprise).

Quais registros são adicionados para manter o Universal SSL ativado?

Os registros DNS a seguir são configurados automaticamente se você continuar a usar os certificados Universal SSL gratuitos da Cloudflare:

exemplo.com. IN CAA 0 issue "comodoca.com"exemplo.com. IN CAA 0 issue "digicert.com"exemplo.com. IN CAA 0 issue "letsencrypt.org"exemplo.com. IN CAA 0 issuewild "comodoca.com"exemplo.com. IN CAA 0 issuewild "digicert.com"exemplo.com. IN CAA 0 issuewild "letsencrypt.org"
Não use a opção Somente permitir curingas (que retorna somente registros issuewild) para o registro raiz de qualquer domínio que use o Universal SSL da Cloudflare.

Usado isoladamente, o issuewildpermite somente a emissão de curingas.  Portanto, a Cloudflare não pode adicionar seu domínio raiz ao certificado, a menos que você especifique a opção Permitir curingas e nomes de host específicos na lista suspensa de Tags:

configuring_caa_records_comodoca_annotated.png


O que acontece quando o Universal SSL está desativado?

Seu nome de domínio é imediatamente removido do certificado Universal SSL e seus usuários verão erros de SSL, a menos que você carregue um certificado SSL personalizado (requer os planos Business ou Enterprise).


Como faço para reativar o Universal SSL?

Abra um chamado de suporte junto ao suporte da Cloudflare.


Quais são os perigos de se configurar registros de CAA?

Se você fizer parte de uma grande organização, ou uma organização onde várias pessoas recebem a tarefa de obter certificados SSL, inclua registros de CAA que permitam a emissão para todas as CAs aplicáveis à sua organização.  Deixar de fazê-lo poderá bloquear inadvertidamente a emissão de SSL para outras partes da sua organização.

 

 

Não encontra o que precisa?

95% das perguntas podem ser respondidas usando a ferramenta de pesquisa. Essa é a maneira mais rápida de obter uma resposta.