[AWS Technical Support Note] จะทำอย่างไรถ้าการต่ออายุใบรับรอง ACM certificate โดยอัตโนมัติที่ใช้ DNS verification ล้มเหลว

ปัญหาที่เกิดขึ้น

การต่ออายุใบรับรอง ACM certificate โดยอัตโนมัติที่ใช้ DNS verification เกิดความล้มเหลว ทำไมการต่ออายุใบรับรอง ACM certificate โดยอัตโนมัติปีที่แล้วถึงทำงานได้ปกติ แต่ปีนี้เกิดความผิดพลาดขึ้น

ให้ตรวจสอบการตั้งค่าต่อไปนี้

1. ให้ตรวจสอบตั้งแต่ CNAME Record สำหรับ domain verification ที่ใช้ ACM จนถึงขั้นตอนการลงทะเบียน(register)ใน Host zone (zone file) ว่ามีการเปลี่ยนแปลงหรือไม่
   ถ้า CNAME Record สำหรับ domain verification ถูกลบจาก Host zone (zone file) จะไม่สามารตรวจสอบเป้าหมาย Domain ที่จะต่ออายุใบรับรอง ACM certificate โดยอัตโนมัติได้ ทำให้การต่ออายุใบรับรอง ACM certificate โดยอัตโนมัติล้มเหลวครับ

DNS validation - AWS Certificate Manager

ACM automatically renews your certificate as long as the certificate is in use and your CNAME record remains in place.

1. ในกรณีที่ภายหลังการต่ออายุ certificate ปีที่แล้ว มีการเริ่มใช้ CAA Record ละก็ ให้ตรวจสอบว่าในค่าของ CAA Record มีชื่อ Domain ต่อไปนี้หรือไม่ (amazon.com、amazontrust.com、awstrust.com、amazonaws.com)

Certification Authority Authorization (CAA) problems - AWS Certificate Manager

If you receive an error during certificate issuance that says One or more domain names have failed validation due to a Certification Authority Authorization (CAA) error, check your CAA DNS records. If you receive this error after your ACM certificate request has been successfully validated, you must update your CAA records and request a certificate again.

CAA Record คืออะไร

CAA Record คือ กลไกที่ป้องกันการออก certificate โดยบุคคลอื่นที่ไม่ใช่ผู้ถือ Domain ครับ
เมื่อผู้ออก certificate (CA) ออก certificate ระบบจะตรวจสอบ CAA Record เพื่อดูว่าเจ้าของ Domain อนุญาตให้ผู้ออก certificate ออก certificate หรือไม่

• Amazon Route 53 now supports CAA records
• (Optional) Configure a CAA record - AWS Certificate Manager

สรุป

ในช่วงพักหลังมามีลูกค้าหลายท่านมีการใช้ CAA Record เพิ่มมากขึ้นเพื่อการเพิ่มระดับรักษาความปลอดภัย(Security)
เมื่อมีการถามเข้ามากับทาง Technical Support เกี่ยวกับการต่ออายุใบรับรอง ACM certificate โดยอัตโนมัติที่ใช้ DNS verification ล้มเหลว เราจะให้คุณลูกค้าทำการตรวจสอบว่า CNAME Record สำหรับ domain verification ไม่ได้ถูกลบไป และเป็น CAA Record ที่พึ่งเริ่มใช้ไม่ถึงปี หรือเปล่า

บทความต้นฉบับ

DNS 検証を利用しての ACM 証明書自動更新が失敗した時の対処方法 | DevelopersIO

บทความที่เกี่ยวข้อง

• DNS validation - AWS Certificate Manager
• Certification Authority Authorization (CAA) problems - AWS Certificate Manager
• Amazon Route 53 now supports CAA records
• (Optional) Configure a CAA record - AWS Certificate Manager
• การตั้งค่า SSL กับ DNS ใน CloudFront โดยใช้ ACM กับ Route 53 | DevelopersIO

เกี่ยวกับ AWS Technical Support Note

นี่เป็นบทความที่จะแนะนำเกี่ยวกับ ทริปต่างๆ ที่เกิดจากการสอบถามปัญหาต่างๆเกี่ยวกับ AWS ในอดีต ที่จะมารวมรวบรวมนำมาเสนอเป็นบทความโดย Technical Support Thailand Team เอง
และยังมีการให้บริการสนับสนุนด้านเทคนิคฟรี โปรดดูรายละเอียดจากลิ้งค์ด้านล่าง