このマニュアルでは、DNS CAA レコード設定についてご案内しています。
SSLサーバー証明書を第三者が勝手に発行することを防止する仕組みです。
認証局(CA)はSSLサーバー証明書を発行する際にDNSを確認し、ドメイン所有者がその認証局にSSLサーバー証明書の発行を許可しているかどうかをチェックします。
2017年9月現在、この設定はユーザの任意とされているため、設定しなくてもSSLサーバー証明書の発行に支障はありません。
ドメイン所有者はDNSの設定画面からCAAレコードに値を設定します。設定する値は以下の例をご確認ください。
認証局はSSLサーバー証明書を発行する際にDNSのCAAレコードを参照し、自分の認証局のコモンネームが設定されているか、空の場合に証明書を発行することができます。
他社の認証局のコモンネームが設定されている場合は証明書を発行できません。
CAAレコードはサブドメイン、ルートドメイン(ネイキッドドメイン or ゾーンアペックス)単位で設定できますが、サブドメインにCAAレコードを設定していなくてもルートドメインに設定されている場合、証明書の発行を制限できます。
例1
test.example.comにCAAレコードを設定して今の認証局のみに証明書発行を制限している場合、別の認証局ではtest.example.comの証明書は発行できませんが、example.comの証明書は発行可能です。
例2
example.comにCAAレコードを設定して今の認証局のみに証明書発行を制限している場合、別の認証局ではexample.comの証明書の発行はできません。
また、test.example.comの証明書も発行できません。
CAAレコードの設定値
| 種類 |
設定例 |
| 通常のSSLサーバー証明書の発行許可 |
0 issue "letsencrypt.org"
※letsencrypt.org には、ご利用の下記認証局のコモンネームを入力してください。
|
| ワイルドカード証明書の発行許可 |
0 issuewild "jprs.jp"
※jprs.jp には、ご利用の下記認証局のコモンネームを入力してください。 |
| 無効な発行リクエストの報告先 |
0 iodef "test@example.com"
※" "内には、通知先のURLまたはメールアドレスを入力してください。 |
各認証局のコモンネーム
| ゲヒルン |
usertrust.com |
| シマンテック/ジオトラスト/ラピッドSSL |
symantec.com |
| サイバートラスト |
cybertrust.ne.jp |
| JPRS |
jprs.jp |
| GMOグローバルサイン |
globalsign.com |
| セコムトラストシステムズ |
secomtrust.net |
| Let’s Encrypt |
letsencrypt.org |
※ さくらのレンタルサーバ 無料SSL機能をお使いの場合は、Let’s Encryptを設定してください。
2017年9月現在、CAAレコードの設定は必須ではありません。
そのため、ドメインにCAAレコードが設定されていない場合でもSSLサーバー証明書は正常に発行されます。
CAAレコードにコモンネームが設定されていて、そのコモンネームが発行しようとしている認証局と異なる場合のみ、発行ができなくなります。
さくらインターネットでドメインを取得している場合の設定方法は以下になります。
|
ドメインコントロールパネルへログイン
| 会員ID |
お客様の会員ID(例:nnn12345) |
| パスワード |
会員メニューパスワード
※ お申込み時に、お客様にて決めていただいた任意のパスワードです。
紛失された場合は「会員メニューパスワードの変更・再発行をしたい」をご確認ください。
|
|
|---|
|
ドメインコントロールパネルへ移動
1画面左側の契約情報から『契約中のドメイン一覧』をクリックします。
2契約中のドメイン一覧が表示されます。
『ドメインコントロールパネル』をクリックします。
|
|---|
|
ネームサーバー情報の変更
1該当ドメインの『ゾーン』をクリックします。
2『編集』をクリックします。
3レコード追加の欄を確認します。
タイプのプルダウンから「認証局認証(CAA)」を選択し、・データに「発行を許可する[認証局(※)]」を入力して
『追加」をクリックします。
※ データに入力する設定値については、CAAレコードの設定値をご参考ください。
| エントリ名 |
@ |
| タイプ |
認証局認証(CAA) |
| データ |
発行を許可する[認証局(※)] |
4「保存」をクリックします。
5設定した値を確認します。
注意事項
- 自分が発行を許可したい認証局のコモンネームを入力します。
- CAAレコードの設定は任意となります。
2017年9月現在、入力していなくてもSSL証明書は発行されます。
- ネームサーバー情報を変更すると、変更された情報がインターネット上に反映するまで、数時間~48時間必要です。
|
|---|
このマニュアルでは、DNS CAA レコード設定についてご案内しています。
SSLサーバー証明書を第三者が勝手に発行することを防止する仕組みです。
認証局(CA)はSSLサーバー証明書を発行する際にDNSを確認し、ドメイン所有者がその認証局にSSLサーバー証明書の発行を許可しているかどうかをチェックします。
2017年9月現在、この設定はユーザの任意とされているため、設定しなくてもSSLサーバー証明書の発行に支障はありません。
ドメイン所有者はDNSの設定画面からCAAレコードに値を設定します。設定する値は以下の例をご確認ください。
認証局はSSLサーバー証明書を発行する際にDNSのCAAレコードを参照し、自分の認証局のコモンネームが設定されているか、空の場合に証明書を発行することができます。
他社の認証局のコモンネームが設定されている場合は証明書を発行できません。
CAAレコードはサブドメイン、ルートドメイン(ネイキッドドメイン or ゾーンアペックス)単位で設定できますが、サブドメインにCAAレコードを設定していなくてもルートドメインに設定されている場合、証明書の発行を制限できます。
例1
test.example.comにCAAレコードを設定して今の認証局のみに証明書発行を制限している場合、別の認証局ではtest.example.comの証明書は発行できませんが、example.comの証明書は発行可能です。
例2
example.comにCAAレコードを設定して今の認証局のみに証明書発行を制限している場合、別の認証局ではexample.comの証明書の発行はできません。
また、test.example.comの証明書も発行できません。
CAAレコードの設定値
| 種類 |
設定例 |
| 通常のSSLサーバー証明書の発行許可 |
0 issue "letsencrypt.org"
※letsencrypt.org には、ご利用の下記認証局のコモンネームを入力してください。
|
| ワイルドカード証明書の発行許可 |
0 issuewild "jprs.jp"
※jprs.jp には、ご利用の下記認証局のコモンネームを入力してください。 |
| 無効な発行リクエストの報告先 |
0 iodef "test@example.com"
※" "内には、通知先のURLまたはメールアドレスを入力してください。 |
各認証局のコモンネーム
| ゲヒルン |
usertrust.com |
| シマンテック/ジオトラスト/ラピッドSSL |
symantec.com |
| サイバートラスト |
cybertrust.ne.jp |
| JPRS |
jprs.jp |
| GMOグローバルサイン |
globalsign.com |
| セコムトラストシステムズ |
secomtrust.net |
| Let’s Encrypt |
letsencrypt.org |
※ さくらのレンタルサーバ 無料SSL機能をお使いの場合は、Let’s Encryptを設定してください。
2017年9月現在、CAAレコードの設定は必須ではありません。
そのため、ドメインにCAAレコードが設定されていない場合でもSSLサーバー証明書は正常に発行されます。
CAAレコードにコモンネームが設定されていて、そのコモンネームが発行しようとしている認証局と異なる場合のみ、発行ができなくなります。
さくらインターネットでドメインを取得している場合の設定方法は以下になります。
|
ドメインコントロールパネルへログイン
| 会員ID |
お客様の会員ID(例:nnn12345) |
| パスワード |
会員メニューパスワード
※ お申込み時に、お客様にて決めていただいた任意のパスワードです。
紛失された場合は「会員メニューパスワードの変更・再発行をしたい」をご確認ください。
|
|
|---|
|
ドメインコントロールパネルへ移動
1画面左側の契約情報から『契約中のドメイン一覧』をクリックします。
2契約中のドメイン一覧が表示されます。
『ドメインコントロールパネル』をクリックします。
|
|---|
|
ネームサーバー情報の変更
1該当ドメインの『ゾーン』をクリックします。
2『編集』をクリックします。
3レコード追加の欄を確認します。
タイプのプルダウンから「認証局認証(CAA)」を選択し、・データに「発行を許可する[認証局(※)]」を入力して
『追加」をクリックします。
※ データに入力する設定値については、CAAレコードの設定値をご参考ください。
| エントリ名 |
@ |
| タイプ |
認証局認証(CAA) |
| データ |
発行を許可する[認証局(※)] |
4「保存」をクリックします。
5設定した値を確認します。
注意事項
- 自分が発行を許可したい認証局のコモンネームを入力します。
- CAAレコードの設定は任意となります。
2017年9月現在、入力していなくてもSSL証明書は発行されます。
- ネームサーバー情報を変更すると、変更された情報がインターネット上に反映するまで、数時間~48時間必要です。
|
|---|
