acmのDNS検証によるSSL証明書発行ではNSレコードではなくwhoisのネームサーバが参照される

awsのacmではSSL証明書発行を、メール検証ではなくCNAMEによるDNS検証で可能になっています。

さて、イレギュラーな状態ですが、DNSをNSレコードで委任していてwhoisのネームサーバ設定と一致しない場合があるとします。具体的には、ネームサーバの切り替え中が当てはまります。JPRSもNSレコードを先に切り替える手順を案内しています。

DNSサーバーの引っ越し~トラブル発生を未然に防ぐ手順とポイント – JPRS

ドメインだけ自社で取ってDNS管理はwebサイト制作業者に投げている場合でも発生するかもしれません。

acmではwhoisに記載のネームサーバを検証するため、委任先DNSにCNAMEを設定してもSSL証明書が発行されません。whois記載の委任元DNSにCNAMEを設定するとSSL証明書が発行されます。ドキュメントに記載は見つけられませんでしたが、2018年12月時点ではそのような挙動をしました。

DNS切り替え前のキャッシュが残っているんでは? という疑問は残りますが、1ヶ月経過した状態でも起きたので、ちょっと考えにくいです。

根本的には「速やかにネームサーバを切り替えよう」が対応になるので、その挙動がどうだということはないですが、発行されないときの手がかりとして。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です