CAAレコードとは、第三者が勝手にSSL証明書を取得することを防ぐ仕組みです。
SSL証明書の発行を許可する認証局をDNSサーバのCSSレコードに登録することで、意図しない認証局から証明書が発行されることを防ぎます。
2020年10月現在、CAAレコードの設定は、必須ではありませんので、SSL証明書の発行認証局を限定する必要がないと判断した場合、設定する必要はありません。
CAAレコードが設定されていない場合 | SSL証明書の発行認証局に限定なし |
CAAレコードが設定されている場合 | 発行許可された認証局以外、SSL証明書の発行不可 |
目次
CAAレコードの設定方法
コモンネームのDNSサーバのCAAレコードに以下のような値を設定します。
通常のSSLサーバ証明書の発行許可 | 0 issue "認証局のコモンネーム" |
ワイルドカード証明書の発行許可 | 0 issuewild "認証局のコモンネーム" |
DigiCert / GeoTrust / RapidSSL | digicert.com |
Sectigo / Comodo | sctigo.com |
設定例
ドメイン名とワイルドカード:DigiCertの証明書発行を許可
yourdomain.com. IN CAA 0 issue "digicert.com"
ドメイン名:DigiCertの証明書発行を許可
ワイルドカード:拒否
yourdomain.com. IN CAA 0 issue "digicert.com"
yourdomain.com. IN CAA 0 issuewild ";"
ドメイン名:拒否
ワイルドカード:DigiCertの証明書発行を許可
yourdomain.com. IN CAA 0 issue ";"
yourdomain.com. IN CAA 0 issuewild "digicert.com"
DigiCertとSectigoの証明書発行を許可
yourdomain.com. IN CAA 0 issue "digicert.com"
yourdomain.com. IN CAA 0 issue "sctigo.com"