Loading

Il dominio personalizzato potrebbe smettere di funzionare se il record CAA del dominio utente non supporta Let’s Encrypt per l'emissione dei certificati.

Data pubblicazione: Jun 2, 2023
Descrizione

Sintomi 

Questo articolo fornisce alcune soluzioni attualmente disponibili da implementare se si riceve un'email con il seguente testo. 
 
Sembra che il record CAA (Certification Authority Authorization) DNS per <il dominio personalizzato dell'utente> non contenga letsencrypt.org. La CDN di Salesforce per le esperienze digitali utilizza Let’s Encrypt come autorità di certificazione per <il dominio personalizzato dell'utente>. Salesforce rimuove periodicamente i domini personalizzati che non contengono letsencrypt.org nei loro record CAA dalla CDN per le esperienze digitali. Se Salesforce rimuove il dominio personalizzato dalla CDN, è possibile selezionare nuovamente l'opzione HTTPS del dominio dalla pagina Domini in Imposta dopo aver aggiornato il record CAA.

Causa

Esistono due cause possibili:
  1. Il dominio dell'utente contiene un record CAA in DNS che non consente l'uso di Let’s Encrypt.
  2. Nel dominio dell'utente in DNS è presente Let’s Encrypt come record CAA, ma è presente anche un record CNAME. Sebbene alcuni fornitori di servizi DNS consentano questa configurazione, non è supportata secondo gli standard RFC. Trattandosi di un caso d'uso non standard, i risolutori DNS in tutto il mondo forniscono risultati diversi quando si esegue una query relativa alle incoerenze causate dal record CAA. 
In entrambe le istanze, l'email ricevuta dall'utente viene generata dal server Salesforce.
Risoluzione
Sono disponibili tre opzioni, utilizzandohelp.demo.com come esempio di dominio personalizzato: 
  1. Aggiungere al proprio dominio Let’s Encrypt come record CAA. ("demo.com")
  2. Rimuovere i record CAA dal proprio dominio. (demo.com non avrà più record CAA)
  3. Se le opzioni precedenti non sono fattibili, utilizzare un record ALIAS invece di un record CNAME e aggiungere il record CAA. (help.demo.com utilizzerà un alias invece di un record CNAME, inoltre conterrà il record CAA letsencrypt.org).  
    Nota: è necessario avere un fornitore DNS in grado di supportare questo scenario. 
Se non si interviene, il dominio potrebbe smettere di funzionare. 
 

Informazioni aggiuntive

Prerequisiti per la CDN di Salesforce
Let’sEncrypt
Numero articolo Knowledge

000395604

 
Caricamento
Salesforce Help | Article