CAAレコードの設定について

CAAレとは、第三者が勝手にSSL証明書を取得することを防ぐ仕組みです。

SSL証明書の発行を許可する認証局をDNSサーバのCSSレに登録することで、意図しない認証局から証明書が発行されることを防ぎます。

2020年10月現在、CAAレの設定は、必須ではありませんので、SSL証明書の発行認証局を限定する必要がないと判断した場合、設定する必要はありません。

CAAレが設定されていない場合 SSL証明書の発行認証局に限定なし
CAAレが設定されている場合 発行許可された認証局以外、SSL証明書の発行不可

CAAレの設定方法

コモンネームのDNSサーバのCAAレに以下のような値を設定します。

CAAレの設定値
通常のSSLサーバ証明書の発行許可 0 issue “認証局のコモンネーム”
ワイルドカード証明書の発行許可 0 issuewild “認証局のコモンネーム”
認証局のコモンネーム
DigiCert / GeoTrust / RapidSSL digicert.com
Sectigo / Comodo sctigo.com

設定例

ドメイン名とワイルドカード:DigiCertの証明書発行を許可

yourdomain.com. IN CAA 0 issue "digicert.com"

ドメイン名:DigiCertの証明書発行を許可
ワイルドカード:拒否

yourdomain.com. IN CAA 0 issue "digicert.com"
yourdomain.com. IN CAA 0 issuewild ";"

ドメイン名:拒否
ワイルドカード:DigiCertの証明書発行を許可

yourdomain.com. IN CAA 0 issue ";"
yourdomain.com. IN CAA 0 issuewild "digicert.com"

DigiCertとSectigoの証明書発行を許可

yourdomain.com. IN CAA 0 issue "digicert.com"
yourdomain.com. IN CAA 0 issue "sctigo.com"