Loading

Votre domaine personnalisé peut cesser de fonctionner si son enregistrement Autorisation d’autorité de certification (CAA) ne permet pas à Let’s Encrypt de délivrer des certificats pour celui-ci.

Date de publication: Jun 2, 2023
Description

Symptômes 

Si vous avez reçu un e-mail contenant le texte suivant, cet article propose quelques solutions possibles. 
 
L’enregistrement de l’autorisation de l’autorité de certification (CAA) du DNS de <votre domaine personnalisé> ne contient pas letsencrypt.org. Le CDN pour Expériences numériques de Salesforce utilise Let’s Encrypt en tant qu’autorité de certification pour <votre domaine personnalisé>. Salesforce retire périodiquement du CDN pour Expériences numériques les domaines personnalisés qui ne font pas mention de letsencrypt.org dans leur enregistrement CAA. Si Salesforce retire votre domaine personnalisé du CDN, vous pouvez resélectionner l’option de domaine HTTPS sur la page Domaines, dans Configuration, après avoir mis votre enregistrement CAA à jour.

Cause

Il y a ici deux causes possibles :
  1. Votre domaine contient un enregistrement d’autorisation de l’autorité de certification dans le DNS qui n’autorise pas Let’s Encrypt.
  2. Let’s Encrypt figure en tant qu’enregistrement d’autorisation de l’autorité de certification dans votre domaine dans le DNS, mais celui-ci dispose également d’un enregistrement CNAME. Bien que certains fournisseurs de DNS autorisent cette configuration, elle n’est pas prise en charge par les normes RFC. En raison de ce cas d’utilisation atypique, les différents résolveurs DNS répartis dans le monde renvoient des résultats discordants en réponse aux requêtes relatives à l’enregistrement d’autorisation de l’autorité de certification, ce qui provoque des incohérences. 
Dans les deux cas, le serveur Salesforce génère l’e-mail que vous avez reçu.
Résolution
Voici trois solutions où nous utilisons help.demo.com comme exemple de domaine personnalisé : 
  1. Ajoutez Let’s Encrypt en tant qu’enregistrement d’autorisation de l’autorité de certification sur votre domaine. (« demo.com »)
  2. Supprimez les enregistrements d’autorisation de l’autorité de certification de votre domaine. (Par conséquent, demo.com n’aura pas d’enregistrement d’autorisation d’autorité de certification.)
  3. Si les solutions précédentes ne peuvent pas être appliquées, utilisez un enregistrement ALIAS au lieu d’un enregistrement CNAME et ajoutez-y l’enregistrement d’autorisation de l’autorité de certification. (help.demo.com utilisera un alias au lieu de CNAME et contiendra également l’enregistrement d’autorisation de l’autorité de certification letsencrypt.org).  
    Remarque : vous devez disposer d’un fournisseur DNS capable de prendre en charge ce scénario. 
Si vous ne prenez aucune mesure, votre domaine pourrait cesser de fonctionner. 
 

Informations supplémentaires

Prérequis pour le CDN Salesforce
Let’sEncrypt
Numéro d’article de la base de connaissances

000395604

 
Chargement
Salesforce Help | Article