SSL サービス仕様

DNS CAA レコード設定について

このマニュアルでは
DNS CAA レコード設定についてご案内しています。

CAA(Certification Authority Authorization) レコードとは

CAAレコード設定の概要

SSLサーバ証明書を第三者が勝手に発行することを防止する仕組みです。
認証局(CA)はSSLサーバ証明書を発行する際にDNSを確認し、
ドメイン所有者がその認証局にSSLサーバ証明書の発行を許可しているかどうかをチェックします。

2017年9月現在、この設定はユーザの任意とされているため、設定しなくてもSSLサーバ証明書の発行に支障はありません。

CAAレコード設定の仕様

ドメイン所有者はDNSの設定画面からCAAレコードに値を設定します。設定する値は以下の例をご確認ください。
認証局はSSLサーバ証明書を発行する際にDNSのCAAレコードを参照し、
自分の認証局のコモンネームが設定されているか、空の場合に証明書を発行することができます。
他社の認証局のコモンネームが設定されている場合は証明書を発行できません。

CAAレコードはサブドメイン、ルートドメイン(ネイキッドドメイン or ゾーンアペックス)単位で設定できますが、
サブドメインにCAAレコードを設定していなくてもルートドメインに設定されている場合、証明書の発行を制限できます。

例1)test.example.comにCAAレコードを設定して今の認証局のみに証明書発行を制限している場合、
別の認証局ではtest.example.comの証明書は発行できませんが、example.comの証明書は発行可能です。

例2)example.comにCAAレコードを設定して今の認証局のみに証明書発行を制限している場合、
別の認証局ではexample.comの証明書の発行はできません。また、test.example.comの証明書も発行できません。

CAAレコードの設定値
通常のSSLサーバ証明書の発行許可 0 issue “<認証局のコモンネーム()>”
ワイルドカード証明書の発行許可 0 issuewild “<認証局のコモンネーム()>”
無効な発行リクエストの報告先 0 iodef “<通知先のURLまたはメールアドレス>”

お客様のサイトのコモンネームではなく、認証局のコモンネームになりますのでご注意ください。

各認証局のコモンネーム

シマンテック/ジオトラスト/ラピッドSSL symantec.com
サイバートラスト cybertrust.ne.jp
JPRS jprs.jp
GMOグローバルサイン globalsign.com
セコムトラストシステムズ secomtrust.net
Let’s Encrypt letsencrypt.org

さくらのレンタルサーバ 無料SSL機能をお使いの場合はLet’s Encryptを設定してください。

ページの先頭へ

CAAレコード設定の必要性について

2017年9月現在、CAAレコードの設定は必須ではありません。
そのため、ドメインにCAAレコードが設定されていない場合でもSSLサーバ証明書は正常に発行されます。
CAAレコードにコモンネームが設定されていて、
そのコモンネームが発行しようとしている認証局と異なる場合のみ、発行ができなくなります。

ページの先頭へ

CAAレコードの設定方法

さくらインターネットでドメインを取得している場合の設定方法は以下になります。

ドメインコントロールパネルにログイン

会員メニューにログインします。

会員ID お客様の会員ID(例:nnn12345)
パスワード 会員メニューパスワード
お申込み時に、お客様にて決めていただいた任意のパスワード
紛失された場合は「会員メニューパスワードの変更・再発行」をご確認ください。

ドメインコントロールパネルへ移動

画面左側の契約情報から『契約中のドメイン一覧』をクリックします。

契約中のドメイン一覧が表示されます。
『ドメインコントロールパネル』をクリックします。

ネームサーバ情報の変更

該当ドメインの『ゾーン』をクリックします。

『編集』をクリックします。

レコード追加の欄を確認します。
タイプのプルダウンから「認証局認証(CAA)」を選択し、・データに「発行を許可する[認証局(※)]」を入力して
『追加」をクリックします。

エントリ名 @
タイプ 認証局認証(CAA)
データ 発行を許可する[認証局(※)]

「保存」をクリックします。

設定した値を確認します。

注意事項

  • 自分が発行を許可したい認証局のコモンネームを入力します。
  • CAAレコードの設定は任意となります。
    2017年9月現在、入力していなくてもSSL証明書は発行されます。
  • ネームサーバ情報を変更すると、変更された情報がインターネット上に反映するまで、
    数時間~48時間必要です。