CAAレコードの設定について

CAAレコードとは、第三者が勝手にSSL証明書を取得することを防ぐ仕組みです。

SSL証明書の発行を許可する認証局をDNSサーバのCSSレコードに登録することで、意図しない認証局から証明書が発行されることを防ぎます。

2020年10月現在、CAAレコードの設定は、必須ではありませんので、SSL証明書の発行認証局を限定する必要がないと判断した場合、設定する必要はありません。

CAAレコードが設定されていない場合SSL証明書の発行認証局に限定なし
CAAレコードが設定されている場合発行許可された認証局以外、SSL証明書の発行不可

CAAレコードの設定方法

コモンネームのDNSサーバのCAAレコードに以下のような値を設定します。

通常のSSLサーバ証明書の発行許可0 issue “認証局のコモンネーム”
ワイルドカード証明書の発行許可0 issuewild “認証局のコモンネーム”
DigiCert / GeoTrust / RapidSSLdigicert.com
Sectigo / Comodosctigo.com

設定例

ドメイン名とワイルドカード:DigiCertの証明書発行を許可

yourdomain.com. IN CAA 0 issue "digicert.com"

ドメイン名:DigiCertの証明書発行を許可
ワイルドカード:拒否

yourdomain.com. IN CAA 0 issue "digicert.com"
yourdomain.com. IN CAA 0 issuewild ";"

ドメイン名:拒否
ワイルドカード:DigiCertの証明書発行を許可

yourdomain.com. IN CAA 0 issue ";"
yourdomain.com. IN CAA 0 issuewild "digicert.com"

DigiCertとSectigoの証明書発行を許可

yourdomain.com. IN CAA 0 issue "digicert.com"
yourdomain.com. IN CAA 0 issue "sctigo.com"