ホーム » コンピュータ » Linux » Debian » CAA レコードが未設定で dehydrated (Let’s Encrypt) が失敗

システム

最近の投稿

  • 主役は私
    2024-07-27
  • あづぃ…
    2024-07-07
    エアコンのない室内、max37℃…. 脳みそ、熔ける… […]
  • プリンタの更新 EP-716A
    2024-07-06
    EP-716Aに更新 以前から使っていたプリンタ EP-706A […]
  • Raspberry-Pi にヒートシンク
    2024-07-05
    自宅のエアコンのない室内温度を計るために動かしている Raspberry-Pi […]
  • 母の肩の脱臼
    2024-07-04
    このコンテンツはアクセスが制限されています。閲覧するには以下にパスワードを入力してください。 […]

アーカイブ

カテゴリー

CAA レコードが未設定で dehydrated (Let’s Encrypt) が失敗

投稿者: in Debian, Linux, Network, T-Saitoh, コンピュータ, ドメイン 投稿日:

自宅ドメインの SSL 証明には、Let’s Encrypt (実体は dehydrated) を使っているけど、CERT の有効期限の確認の処理で警告がでてきて、月に1度実施の更新でエラーを吐いているみたい。

DNS に CAA レコードが無いと失敗する

更新を実行すると、以下の表示が出ている。

ERROR: Challenge is invalid! (returned: invalid) (result: ["type"] "http-01"
:
["error","detail"]      "CAA record for tsaitoh.net prevents issuance"

Let’s Encrypt が更新する際に、ドメイン名の CAA レコードを参照しているけど、CAA レコードが正しくないために、SSL 更新に失敗している。

DNS Certification Authority Authorization とは、ドメイン名の所有者が認証局に対して、自分のドメイン名の公開鍵証明書の発行を許可するかどうかを指定できるようにするインターネットセキュリティポリシーのしくみである。(Wikipedia)

CAAレコードに letsencrypt.org を登録

自宅ドメインは、Dynamic DNS に mydns.jp を使っているので、mydns.jp の設定画面の “DOMAIN INFO” の所で、
「@ CAA 0 issue “\000”」 となっていたので、下記の設定を追加する。

Hostname Type Content Target ID
@ CAA 0 issue “letsencrypt.org” mydnsXXXXX

この設定の後、nslookup では、下記のようなデータが取れるようになった。

$ nslookup -query=CAA tsaitoh.net
tsaitoh.net     rdata_257 = 0 issue "letsencrypt.org"

他の仕事関連のドメイン名も同様の症状が発生するようになるはずなので、mydns.jp 関連の他ドメインで同様設定を追加する。

タグ: ,