letsencrypt から自宅サイトの証明書の更新が切れるとの警告メール。
自動更新にしているはずなのに….
確認してみると、CAAのエラー
$ sudo /etc/dehydrated/update-dehydrated --force --cron
ERROR: Challenge is invalid! (returned: invalid) (result: ["type"] "http-01"
["url"] "https://acme-v02.api.letsencrypt.org/acme/chall/xxxxxxx/xxxxxxxxxxxx/_VfALA"
["status"] "invalid"
["validated"] "2025-06-06T00:54:07Z"
["error","type"] "urn:ietf:params:acme:error:caa"
["error","detail"] "During secondary validation: While processing CAA for tsaitoh.net:
CAA record for tsaitoh.net prevents issuance"
["error"] {"type":"urn:ietf:params:acme:error:caa",
"detail":"During secondary validation: While processing CAA for tsaitoh.net:
CAA record for tsaitoh.net prevents issuance"}
["token"] "xxxxxxxxxxxxxxxxxxxxxxxx--xxxxxxxxxxxxxxxxx"
["validationRecord",0,"url"] "http://tsaitoh.net/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxxxxxxxx--xxxxxxxxxxxxxxxxx"
mydns.jp で運用している DNS の設定に、IN CAA 0 issue “letsencrypt.org” を加える必要があるらしい。
でも、長年運用していたので、問題ないはずなんだけど、dig で確認すると、設定が消えている。
$ dig @8.8.8.8 tsaitoh.net CAA tsaitoh.net. 300 IN CAA 0 issue "\000"
実際、自分の記事で確認すると、CAA のトラブルの記事 でちゃんと設定していたはず。
サーバの移行によって、CAA レコードが消えたのかな…!?!? mydns の設定を間違って消したのかな…!?!?
ということで、mydns.jp で CAA の設定を修正して無事更新。