Bezpłatne certyfikaty SSL w smarthost.pl oraz strefa DNS w nazwa.pl

Na naszej platformie hostingowej certyfikaty SSL wystawiają się automatycznie po podpięciu domeny jak i również odnawiają się automatycznie przed okresem wygaśnięcia (certyfikaty bezpłatne są wystawiane na 3 miesiące i nasz system dba o to, żeby je regularnie odnawiać).

Certyfikaty generują się automatycznie, gdy przeprowadzamy klasyczną podstawową konfigurację:

  • podpinamy domeny w cPanel w smarthost.pl
  • ustawiamy serwery DNS na smarthost.pl

Czasem jednak posiadamy inną konfigurację, np. poczta jest na serwerze hostingowym firmy A, a strona jest na serwerze hostingowym firmy B. W większości firm nie ma z tym kłopotu,jednak jednym z wyjątków jest firma nazwa.pl – w momencie, gdy serwer DNS wskazują na nazwa.pl a www wykierowana jest na smarthost.pl (przez tzw. rekord A) – bezpłatny certyfikat SSL się nie wystawi oraz nie odnowi. Dlaczego tak się dzieje,i jak temu zaradzić ?

Rekordy CAA w systemie DNS

Jakiś czas temu ,do systemu DNS został dodany nowy rekord o nazwie CAA (CAA – Certification Authority Authorization). Jest to rekord w strefie DNS, który opisuje, jakie instytucje mogą wystawić certyfikaty SSL dla danej domeny.

Większość systemów DNS nie dodaje tego rekordu – zatem nie ma problemów z wystawianiem zarówno płatnych jak i bezpłatnych certyfikatów dowolnego, zaufanego dostawcy.

Jednak firma nazwa.pl dodaje do swojego systemu DNS następujące wpisy:

domena-klienta.pl. 3600 IN CAA 0 issue „certum.pl”
domena-klienta.pl. 3600 IN CAA 0 issue „letsencrypt.org”
domena-klienta.pl. 3600 IN CAA 0 issuewild „letsencrypt.org”
domena-klienta.pl. 3600 IN CAA 0 issuewild „certum.pl”

Powyższe wpisy oznaczają, że dla domeny która ma ustawione serwery DNS na nazwa.pl nie da się wystawić innych certyfikatów SSL niż podpisanych przez Certum.pl oraz Let’s Encrypt. Nie ma przy tym znaczenia, że rekord A wskazuje na serwer inny niż nazwa.pl – zawsze liczy się wpis w systemie DNS.

Domyślnych wpisów CAA blokujących wystawienie certyfikatów innych niż podane nie można w nazwa.pl usunąć.

Rozwiązanie pierwsze problemu z blokadą CAA

W smarthost.pl domyślnym i automatycznym bezpłatnym certyfikatem SSL jest certyfikat podpisany przez jedną z największych na świecie centrów certyfikacyjnych, tj. Comodo (które ostatnio zmieniło nazwę na Sectigo). Żeby pozwolić wystawić nam certyfikat SSL należy w nazwa.pl dodać wpis:

domena-klienta.pl. 3600 IN CAA 0 issue „comodoca.com”

Po dodaniu tego wpisu, należy odczekać tzw. czas propagacji DNS – aby wszystkie serwery na świecie zauważyły zmianę, co w praktyce trwa maksymalnie do 24 godzin. Od tego czasu, bezpłatny certyfikat wystawi sie w Smarthost.pl automatycznie i również automatycznie będzie się odnawiać.

To rozwiązanie jest uniwersalne, nie tylko dla rekordów CAA ustawianych przez firmę nazwa.pl, ale będzie poprawnie działać dla każdego dostawcy DNS, który ma zapisy rekordów CAA.

Rozwiązanie drugie problemu z blokadą CAA

To rozwiązanie jest specyficzne tylko dla firmy nazwa.pl. Ponieważ nazwa.pl pozwala na wystawianie bezpłatnych certyfikatów od organizacji Let’s Encrypt – to taki certyfikat który można również dodać na Smarthost.pl.

Smarthost.pl udostępnia w cPanelu możliwość generowania certyfikatów SSL od Let’s Encrypt. Ponieważ domyślnie instalowane są automatycznie certyfikaty od Comodo, zwykle Let’s Encrypt nie jest u nas powszechnie używany. Niemniej jednak w przypadku układu, gdzie poczta znajduje się w nazwa.pl a strona WWW znajduje się w Smarthost.pl – takie rozwiązanie jest wygodne.

Należy w cPanelu wejść do ikony „Let’s encrypt SSL” i tam wygenerować certyfikat przez proste zaznaczenie domeny oraz naciśnięcie przycisku „generuj”. Po kilku chwilach certyfikat będzie gotowy. Bezpłatny certyfikat od Let’s Encrypt będzie się od tego momentu również automatycznie odnawiał.

Udostępnij ten artykuł na Facebooku:

Dodaj komentarz