Blog
Artigos Relacionados
☁️ Newsletter
Se mantenha atualizado sobre Cloud e AWS
Artigo
AWS ACM: Como resolver falhas na renovação ou emissão de certificados SSL mesmo com DNS validation “success”
Se você está recebendo e-mails da AWS com problemas na renovação ou emissão de novos certificados ACM, pode estar enfrentando uma situação confusa e frustrante. Tive esse relato de clientes, alunos, e resolver escrever para ajudar outros colegas que talvez estejam passando ou possa passar por essa situação em breve.
Imagine o seguinte cenário: Você verifica o console e vê que a validação DNS mostra “success”, os CNAMEs estão criados corretamente no seu DNS (esteja ele onde for), mas mesmo assim o certificado SSL não renova mais automaticamente.
O problema muito provavelmente está nos registros CAA. Só que via console isso não fica facilmente visivel e é ai que muitos se perdem e não sabem como resolver.
Mas vamos do começo… Dan que diabos são registros CAA?
CAA (Certificate Authority Authorization) são registros DNS que especificam quais autoridades certificadoras podem emitir certificados SSL para um domínio. É uma camada de segurança que impede que CAs não autorizadas emitam certificados para seus domínios.
Antigamente, a AWS ACM não exigia obrigatoriamente a especificação desses registros, mas agora, por uma questão de maior segurança, precisamos incluir esses registros CAA da aws/amazon para que o AWS Certificate Manager consiga emitir e renovar os certificados corretamente.
E ai um aluno perguntou? poxa Dan, mas o meu DNS já está no Route 53, mesmo assim preciso desse CAA? sim precisa, pq mesmo que o domínio esteja “hospedado” no Route 53, precisamos do registro CAA pra ser consultado/confirmado publicamente e autorize a emissão do certificado.
E como você pode identificar se o problema é erro/falta de CAA?
Sinais no AWS Console:
- Status do certificado: “Failed ou Pending”
- Validação DNS: “Success”
- Erro específico: “One or more domain names have failed validation due to a Certificate Authority Authorization (CAA) error”
Verificação via linha de comando:
# rode o comando abaixo no terminal para entender como esta o seu CAA atual, provavelmente aqui seja o "pulo do gato"
dig CAA seudominio.com
# Exemplo de saída problemática:
# seudominio.com. 300 IN CAA 0 issue "letsencrypt.org"
# (Permite apenas Let's Encrypt, ou seja bloqueia AWS)
Solução: Configurar registros CAA corretamente no Route 53 (ou onde quer que esteja hospedado seu DNS):
Passo a passo:
- Acesse o Route 53 Console / ou seu provedor atual de DNS
- Selecione sua hosted zone
- Clique em “Create Record”
- Configure:
Tipo: CAA
Nome: @ (domínio raiz)
TTL: 300
Flags: 0
Tag: issue
Valor: "amazon.com"
Para certificados wildcard(*), adicione também:
Tag: issuewild
Valor: "amazon.com"
Valores aceitos pelo AWS ACM:
- amazon.com (mais comum)
- amazontrust.com
- awstrust.com
- amazonaws.com
Practitioner
Casos especiais importantes:
1. Domínios com CNAME
Se o domínio tem CNAME, a verificação CAA segue para o destino ex:
dig CNAME algumacoisa.seudominio.com
# Se aponta para CloudFront, CAA será verificado lá
2. Múltiplas autoridades certificadoras
Se você usa outras CAs além da AWS, pode ser que seu DNS fique assim, com várias entradas, e está tudo bem, desde que, realmente sejam as entidades em que você confia:
0 issue "amazon.com"
0 issue "letsencrypt.org"
0 issue "entidadeconfiavel.com"
3. Hierarquia DNS
O ACM verifica registros CAA de baixo para cima:
- api.exemplo.com → exemplo.com
- A primeira regra encontrada é aplicada
Verificação do seu DNS pós-configuração da CAA:
# Verificar se funcionou:
dig CAA seudominio.com
# Verificar propagação DNS
dig @8.8.8.8 CAA seudominio.com
Próximos passos após configurar o CAA:
- Aguarde propagação DNS (5-10 minutos depende do servidor, CloudFlare e Route 53 são bem rápidos nesse ponto)
- Solicite novo certificado no ACM (o atual com falha não se recupera automaticamente, mas se estiver pending, aguarde uns 30min que ele renova automático)
- Dica extra: Configure alertas CloudWatch para monitorar renovações futuras, é melhor ser alertado antes do que deixar vencer um certificado.
- Dica extra2: Documente a configuração para a equipe =)
Se você é um usuário mais antigo de AWS deve estar se perguntando, poxa Dan antes não era assim, e você está certo:
- 2017+: AWS não verificava registros CAA obrigatoriamente
- 2022-2024: a verificação se tornou mais rigorosa
- Atualmente: CAA é verificado antes de cada emissão/renovação
Links úteis para se aprofundar no assunto:
AWS ACM: Como resolver falhas na renovação ou emissão de certificados SSL mesmo com DNS validation “success”
Se você está recebendo e-mails da AWS com problemas na renovação ou emissão de novos certificados ACM, pode estar enfrentando uma situação confusa e frustrante. Tive esse relato de clientes, alunos, e resolver escrever para ajudar outros colegas que talvez estejam passando ou possa passar por essa situação em breve.
Imagine o seguinte cenário: Você verifica o console e vê que a validação DNS mostra “success”, os CNAMEs estão criados corretamente no seu DNS (esteja ele onde for), mas mesmo assim o certificado SSL não renova mais automaticamente.
O problema muito provavelmente está nos registros CAA. Só que via console isso não fica facilmente visivel e é ai que muitos se perdem e não sabem como resolver.
Mas vamos do começo… Dan que diabos são registros CAA?
CAA (Certificate Authority Authorization) são registros DNS que especificam quais autoridades certificadoras podem emitir certificados SSL para um domínio. É uma camada de segurança que impede que CAs não autorizadas emitam certificados para seus domínios.
Antigamente, a AWS ACM não exigia obrigatoriamente a especificação desses registros, mas agora, por uma questão de maior segurança, precisamos incluir esses registros CAA da aws/amazon para que o AWS Certificate Manager consiga emitir e renovar os certificados corretamente.
E ai um aluno perguntou? poxa Dan, mas o meu DNS já está no Route 53, mesmo assim preciso desse CAA? sim precisa, pq mesmo que o domínio esteja “hospedado” no Route 53, precisamos do registro CAA pra ser consultado/confirmado publicamente e autorize a emissão do certificado.
E como você pode identificar se o problema é erro/falta de CAA?
Sinais no AWS Console:
- Status do certificado: “Failed ou Pending”
- Validação DNS: “Success”
- Erro específico: “One or more domain names have failed validation due to a Certificate Authority Authorization (CAA) error”
Verificação via linha de comando:
# rode o comando abaixo no terminal para entender como esta o seu CAA atual, provavelmente aqui seja o "pulo do gato"
dig CAA seudominio.com
# Exemplo de saída problemática:
# seudominio.com. 300 IN CAA 0 issue "letsencrypt.org"
# (Permite apenas Let's Encrypt, ou seja bloqueia AWS)
Solução: Configurar registros CAA corretamente no Route 53 (ou onde quer que esteja hospedado seu DNS):
Passo a passo:
- Acesse o Route 53 Console / ou seu provedor atual de DNS
- Selecione sua hosted zone
- Clique em “Create Record”
- Configure:
Tipo: CAA
Nome: @ (domínio raiz)
TTL: 300
Flags: 0
Tag: issue
Valor: "amazon.com"
Para certificados wildcard(*), adicione também:
Tag: issuewild
Valor: "amazon.com"
Valores aceitos pelo AWS ACM:
- amazon.com (mais comum)
- amazontrust.com
- awstrust.com
- amazonaws.com
Practitioner
Casos especiais importantes:
1. Domínios com CNAME
Se o domínio tem CNAME, a verificação CAA segue para o destino ex:
dig CNAME algumacoisa.seudominio.com
# Se aponta para CloudFront, CAA será verificado lá
2. Múltiplas autoridades certificadoras
Se você usa outras CAs além da AWS, pode ser que seu DNS fique assim, com várias entradas, e está tudo bem, desde que, realmente sejam as entidades em que você confia:
0 issue "amazon.com"
0 issue "letsencrypt.org"
0 issue "entidadeconfiavel.com"
3. Hierarquia DNS
O ACM verifica registros CAA de baixo para cima:
- api.exemplo.com → exemplo.com
- A primeira regra encontrada é aplicada
Verificação do seu DNS pós-configuração da CAA:
# Verificar se funcionou:
dig CAA seudominio.com
# Verificar propagação DNS
dig @8.8.8.8 CAA seudominio.com
Próximos passos após configurar o CAA:
- Aguarde propagação DNS (5-10 minutos depende do servidor, CloudFlare e Route 53 são bem rápidos nesse ponto)
- Solicite novo certificado no ACM (o atual com falha não se recupera automaticamente, mas se estiver pending, aguarde uns 30min que ele renova automático)
- Dica extra: Configure alertas CloudWatch para monitorar renovações futuras, é melhor ser alertado antes do que deixar vencer um certificado.
- Dica extra2: Documente a configuração para a equipe =)
Se você é um usuário mais antigo de AWS deve estar se perguntando, poxa Dan antes não era assim, e você está certo:
- 2017+: AWS não verificava registros CAA obrigatoriamente
- 2022-2024: a verificação se tornou mais rigorosa
- Atualmente: CAA é verificado antes de cada emissão/renovação
Links úteis para se aprofundar no assunto:
Artigos Relacionados
☁️ Newsletter
Se mantenha atualizado sobre Cloud e AWS