Na naszej platformie hostingowej certyfikaty SSL wystawiają się automatycznie po podpięciu domeny jak i również odnawiają się automatycznie przed okresem wygaśnięcia (certyfikaty bezpłatne są wystawiane na 3 miesiące i nasz system dba o to, żeby je regularnie odnawiać).

Certyfikaty generują się automatycznie, gdy przeprowadzamy klasyczną podstawową konfigurację:

• podpinamy domeny w cPanel w smarthost.pl
• ustawiamy serwery DNS na smarthost.pl

Czasem jednak posiadamy inną konfigurację, np. poczta jest na serwerze hostingowym firmy A, a strona jest na serwerze hostingowym firmy B. W większości firm nie ma z tym kłopotu, jednak jednym z wyjątków jest firma nazwa.pl — w momencie, gdy serwer DNS wskazują na nazwa.pl a www wykierowana jest na smarthost.pl (przez tzw. rekord A) – bezpłatny certyfikat SSL się nie wystawi oraz nie odnowi. Dlaczego tak się dzieje, i jak temu zaradzić?

Rekordy CAA w systemie DNS

Jakiś czas temu, do systemu DNS został dodany nowy rekord o nazwie CAA (CAA – Certification Authority Authorization). Jest to rekord w strefie DNS, który opisuje, jakie instytucje mogą wystawić certyfikaty SSL dla danej domeny.

Większość systemów DNS nie dodaje tego rekordu — zatem nie ma problemów z wystawianiem zarówno płatnych jak i bezpłatnych certyfikatów dowolnego, zaufanego dostawcy.

Jednak firma nazwa.pl dodaje do swojego systemu DNS następujące wpisy:

domena-klienta.pl. 3600 IN CAA 0 issue „certum.pl”
domena-klienta.pl. 3600 IN CAA 0 issue „letsencrypt.org”
domena-klienta.pl. 3600 IN CAA 0 issuewild „letsencrypt.org”
domena-klienta.pl. 3600 IN CAA 0 issuewild „certum.pl”


Powyższe wpisy oznaczają, że dla domeny, która ma ustawione serwery DNS na nazwa.pl nie da się wystawić innych certyfikatów SSL niż podpisanych przez Certum.pl oraz Let’s Encrypt. Nie ma przy tym znaczenia, że rekord A wskazuje na serwer inny niż nazwa.pl – zawsze liczy się wpis w systemie DNS.

Domyślnych wpisów CAA blokujących wystawienie certyfikatów innych niż podane nie można w nazwa.pl usunąć.

Rozwiązanie problemu z blokadą CAA

W smarthost.pl domyślnym i automatycznym bezpłatnym certyfikatem SSL jest certyfikat podpisany przez jedną z największych na świecie centrów certyfikacyjnych, tj. Comodo (które ostatnio zmieniło nazwę na Sectigo). Żeby pozwolić wystawić nam certyfikat SSL należy w nazwa.pl dodać wpis:

domena-klienta.pl. 3600 IN CAA 0 issue „comodoca.com”

Po dodaniu tego wpisu należy odczekać tzw. czas propagacji DNS – aby wszystkie serwery na świecie zauważyły zmianę, co w praktyce trwa maksymalnie do 24 godzin. Od tego czasu, bezpłatny certyfikat wystawi się w smarthost.pl automatycznie i również automatycznie będzie się odnawiać.

To rozwiązanie jest uniwersalne, nie tylko dla rekordów CAA ustawianych przez firmę nazwa.pl, ale będzie poprawnie działać dla każdego dostawcy DNS, który ma zapisy rekordów CAA.

• About
• Latest Posts

Wojciech Babicz

Wojciech has been dealing with hosting since 1996, initially on servers based on the FreeBSD system and later on Linux systems. In over a dozen years of building the hosting company from scratch, he met with many "industry" situations regarding: power supply, Internet connections, servers, routers, switches, software (system and client) and most importantly ... people.
In addition to being an internet geek, he is passionate about photography, cardboard modeling and traveling over Europe as well as over the whole world.

Latest posts by Wojciech Babicz (see all)

• Smarthost to dobre miejsce dla blogów turystycznych - 27 stycznia, 2021
• Warto dbać o używanie aktualnej wersji PHP. Jak należy ją poprawnie zmienić? - 8 stycznia, 2021
• Podatność wtyczki Contact-form-7 - 18 grudnia, 2020