Perguntas frequentes sobre Autorização da Autoridade de Certificação (CAA)

​​ Perguntas frequentes sobre Autorização da Autoridade de Certificação (CAA)

Este artigo responde a diversas perguntas comuns sobre os registros DNS de CAA.

​​ Neste artigo

• O que é CAA? Open external link
• Como a Cloudflare avalia os registros de CAA? Open external link  
• Por que devo desativar o Universal SSL se meus registros de CAA excluírem a emissão do Universal SSL? Open external link
• Quais registros são adicionados para manter o Universal SSL ativado? Open external link
• O que acontece quando o Universal SSL está desativado? Open external link
• Como faço para reativar o Universal SSL? Open external link
• Quais são os perigos de se configurar registros de CAA? Open external link

​​ O que é CAA?

Um registro de Autorização da Autoridade de Certificação (CAA) permite que os proprietários de domínio restrinjam a emissão para as Autoridades de Certificação (CAs) especificadas. Os registros de CAA previnem que as CAs emitam certificados sob determinadas circunstâncias.  Consulte o RFC 6844 Open external link para obter mais detalhes.

​​ Como a Cloudflare avalia os registros de CAA?

Os registros de CAA são avaliados por uma CA, não pela Cloudflare.

​​ Por que devo desativar o Universal SSL se meus registros de CAA excluírem a emissão do Universal SSL?

Já que os certificados Universal SSL são compartilhados entre clientes, seus registros de CAA podem prevenir a emissão do Universal SSL de outro cliente. Portanto, a Cloudflare precisa desativar o Universal SSL do seu domínio para garantir que seus registros de CAA não afetem outro cliente.

Se você não precisar do Universal SSL da Cloudflare, desative o Universal SSL no aplicativo SSL/TLS.

​​ Quais registros são adicionados para manter o Universal SSL ativado?

Os registros DNS a seguir são configurados automaticamente se você continuar a usar os certificados Universal SSL gratuitos da Cloudflare:

exemplo.com. IN CAA 0 issue "comodoca.com"exemplo.com. IN CAA 0 issue "digicert.com"exemplo.com. IN CAA 0 issue "letsencrypt.org"exemplo.com. IN CAA 0 issuewild "comodoca.com"exemplo.com. IN CAA 0 issuewild "digicert.com"exemplo.com. IN CAA 0 issuewild "letsencrypt.org"

Usado isoladamente, o _issuewild_permite somente a emissão de curingas.  Portanto, a Cloudflare não pode adicionar seu domínio raiz ao certificado, a menos que você especifique a opção Permitir curingas e nomes de host específicos na lista suspensa de Tags:

​​ O que acontece quando o Universal SSL está desativado?

Seu nome de domínio é imediatamente removido do certificado Universal SSL e seus usuários verão erros de SSL, a menos que você carregue um certificado SSL personalizado Open external link (requer os planos Business ou Enterprise).

​​ Como faço para reativar o Universal SSL?

Abra um chamado de suporte junto ao suporte da Cloudflare.

​​ Quais são os perigos de se configurar registros de CAA?

Se você fizer parte de uma grande organização, ou uma organização onde várias pessoas recebem a tarefa de obter certificados SSL, inclua registros de CAA que permitam a emissão para todas as CAs aplicáveis à sua organização.  Deixar de fazê-lo poderá bloquear inadvertidamente a emissão de SSL para outras partes da sua organização.