115000139062
201976162

DNS CAA レコード設定について

CAA(Certification Authority Authorization) レコードとは

CAAレコード設定の概要

SSLサーバ証明書を第三者が勝手に発行することを防止する仕組みです。
認証局(CA)はSSLサーバ証明書を発行する際にDNSを確認し、ドメイン所有者がその認証局にSSLサーバ証明書の発行を許可しているかどうかをチェックします。

2017年9月現在、この設定はユーザの任意とされているため、設定しなくてもSSLサーバ証明書の発行に支障はありません。

CAAレコード設定の仕様

ドメイン所有者はDNSの設定画面からCAAレコードに値を設定します。設定する値は以下の例をご確認ください。
認証局はSSLサーバ証明書を発行する際にDNSのCAAレコードを参照し、自分の認証局のコモンネームが設定されているか、空の場合に証明書を発行することができます。
他社の認証局のコモンネームが設定されている場合は証明書を発行できません。

CAAレコードの設定値
通常のSSLサーバ証明書の発行許可 0 issue "<認証局のコモンネーム()>"
ワイルドカード証明書の発行許可 0 issuewild "<認証局のコモンネーム()>"
無効な発行リクエストの報告先 0 iodef "<通知先のURLまたはメールアドレス>"

お客様のサイトのコモンネームではなく、認証局のコモンネームになりますのでご注意ください。

各認証局のコモンネーム

シマンテック/ジオトラスト/ラピッドSSL symantec.com
サイバートラスト cybertrust.ne.jp
JPRS jprs.jp
GMOグローバルサイン globalsign.com
セコムトラストシステムズ secomtrust.net

ページの先頭へ

CAAレコード設定の必要性について

2017年9月現在、CAAレコードの設定は必須ではありません。
そのため、ドメインにCAAレコードが設定されていない場合でもSSLサーバ証明書は正常に発行されます。
CAAレコードにコモンネームが設定されていて、そのコモンネームが発行しようとしている認証局と異なる場合のみ、発行ができなくなります。

ページの先頭へ

CAAレコードの設定方法

さくらインターネットでドメインを取得している場合の設定方法は以下になります。

ドメインメニューログイン

会員メニューにログインします。

会員ID お客様の会員ID(例:nnn12345)
パスワード 会員メニューパスワード
お申込み時に、お客様にて決めていただいた任意のパスワード
紛失された場合は「会員メニューパスワードの変更・再発行」をご確認ください。

ドメインメニューへの移動

会員メニュートップの『 契約情報 』から、『 契約ドメインの確認 』をクリックします。

会員メニュー

『 ドメインメニュー 』をクリックします。

会員メニュー

ネームサーバ情報の変更

設定したいドメインの『 ゾーン編集 』をクリックします。

caa_010.png

左側メニューにある『 変更 』をクリックします。

caa_020.png

『 種別 』のプルダウンを開いて、認証局認証(CAA)を選択します。

caa_030.png

『 値 』のテキストボックスに発行を許可する認証局を入力して『 新規登録 』をクリックします。

  • ※ 画像の例では、シマンテック社発行のSSLサーバ証明書の場合の設定となります。
    設定値については、CAAレコードの設定値をご参考ください。

caa_040.png

設定値が反映されていることを確認します。

caa_050.png

左側メニューの『 データ送信 』をクリックします。

caa_060.png

設定した値を確認します。

caa_070.png

注意事項

  • 自分が発行を許可したい認証局のコモンネームを入力します。
  • CAAレコードの設定は任意となります。2017年9月現在、入力していなくてもSSL証明書は発行されます。
  • ネームサーバ情報を変更すると、変更された情報がインターネット上に反映するまで、数時間~48時間必要です。

さくらのサポート情報

メニューを閉じる