DNS CAAとは
ドメイン管理者があるドメインに対して、DNSレコードで「CAA」を指定することでSSL/TLSサーバー証明書を発行できる認証局(CA)を指定できる仕組みです。
DNSレコードの形式
DNSのレコードの形式はCAA <flags> <tag> <value>になります。
flags
クリティカルフラグのみが定義されています。クリティカルフラグは、認証局が対応するCAAリソースレコードのtagの種類を理解できない場合、証明書を発行してはならないことを示します。クリティカルフラグを設定する場合は値に128を指定します。それ以外の場合は値に0(ゼロ)を指定します。
tag/value
| tag | 説明 | value |
|---|---|---|
| issue | サーバー証明書全般の発行を許可する認証局を指定 | "letsencrypt.org"などの認証局が指定している値等 |
| issuewild | ワイルドカード証明書の発行を許可する認証局を指定 | "letsencrypt.org"などの認証局が指定している値等 |
| iodef | CAA レコードの確認結果、証明書を発行できない場合に申請があった事実を連絡する連絡先 | mailto:example@example.com |
レコードを作成してみる
https://sslmate.com/caa/ でドメイン等を入力することで、作成してくれます。
作成したレコードをDNSに登録する
私はお名前.comでドメインを取得していたので、お名前.comのDNS設定でCAAレコードを追加しました。
*お名前.comの場合はCAAレコードの対応を2018/06/06あたりから始めたようです(https://www.onamae.com/news/domain/180606_1.html)。
確認
こちらでhttps://www.ssllabs.com/ssltest/ 確認できます。
「DNS CAA」の値が「No」 から「Yes」に変わりました。
参考
DNS CAAとは
DNS CAAレコードに Let's Encrypt 認証局を設定する
CAA レコードについて
DNS CAA レコード設定について