关于“指向 Github 静态托管页面引起腾讯云免费证书无法签发”问题的解决方案

操作场景

操作目的

本文将指导您解决当您的网站使用 Github 静态托管时导致腾讯云免费证书无法签发的问题。

问题背景

自2022年03月03日22:00:00起，TrustAsia 根证书签发由 Digicert 根证书变更为 Sectigo 根证书。
用户使用 Github 静态托管时通常会将域名指向 Github 提供的CNAME记录值，如”username.github.io”。
将域名指向 Github 提供的CNAME记录值意味着该域名（子域名）所有解析记录类型（含CAA）的记录值均由”username.github.io”提供。
由于 Github 提供的CNAME记录值”username.github.io”中包含 CAA 记录（如下述示例），且改该域名 CAA 记录中不包含 Sectigo 根证书的授权，因此将导致腾讯云免费证书无法签发。

rttw@Kincaid:~$ dig username.github.io caa

; <<>> DiG 9.19.5-1+0~20220921.84+debian11~1.gbp190ab0-Debian <<>> username.github.io caa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19362
;; flags: qr rd ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;username.github.io.            IN      CAA

;; ANSWER SECTION:
username.github.io.     0       IN      CAA     0 issue "letsencrypt.org"
username.github.io.     0       IN      CAA     0 issuewild "digicert.com"
username.github.io.     0       IN      CAA     0 issue "digicert.com"

;; Query time: 90 msec
;; SERVER: 172.17.128.1#53(172.17.128.1) (UDP)
;; WHEN: Thu Oct 06 16:28:14 CST 2022
;; MSG SIZE  rcvd: 154

域名所有者通过设置 CAA 解析记录来授权指定的 CA 机构为其颁发 SSL 证书，同时 CA 机构根据规范要求，在颁发 SSL 证书时会强制性检查域名 CAA 记录，如果检查发现未获得授权，将拒绝为该域名颁发 SSL 证书，从而防止未授权的 SSL 证书错误颁发，规避安全风险。

操作步骤

登录 DNSPod解析控制台，找到并单击申请证书的域名。
找到指向 Github 的 CNAME 记录，单击右侧的暂停按钮并暂停解析。
说明：
1. 仅需要暂停当前申请证书域名及主域名上指向 Github静态托管的 CNAME 记录，其他指向记录不需要暂停。（例如我为”blogs.dnstest.cc”申请证书，那我仅需暂停主机记录为”@”和”blogs”的指向 Github静态托管的 CNAME 记录，其他指向记录不需要暂停。）
2. 若您为主域名申请证书，请暂停主机记录为”www”和”@”的指向 Github静态托管的 CNAME 记录，其他指向记录不需要暂停。
3. 仅需要暂停指向 Github静态托管的 CNAME 记录，其他记录不需要暂停。

暂停解析

单击添加记录添加A记录&AAAA记录指向 Github 静态托管的 IP 地址，以避免影响站点正常访问。
说明：
1. 暂停哪些主机记录就为哪些主机记录添加 A 记录 & AAAA 记录，其他主机记录不需要添加。
2. Github 静态托管的 IP 地址为：
  
  IPv4 IPv6（可选）
  
  185.199.108.153 2606:50c0:8000::153
  
  185.199.109.153 2606:50c0:8001::153
  
  185.199.110.153 2606:50c0:8002::153
  
  185.199.111.153 2606:50c0:8003::153
3. 任选一个 IP 地址添加即可，不需要添加所有 IP 地址：