DNS CAAレコード設置(サイト証明書を発行するSSL発行局の定義)でSSLの出処の信憑性を高める
2019年7月16日Linux Tips, トピックス, ノウハウ
ドメインに対して、DNSレコードで「CAA」を指定することはサーバー証明書の発行する認証局(CA)を認識させる手段となります。現状ではDNSの定義が無いから駄目というものではありませんが将来的にはあったほうが良いと思います。グーグルのアナウンスでは明確にビジョンを打ち出しているわけではありませんが、SSLの設定レベルを検知して評価する話もちらほら出ているのでSSL設定の良すぎることに越したことはないです。
下記に自分でDNSを設定しているなら簡単にレコードを作ってくれるサイトがあるので試してみてはいかがかな。
入れると候補が出てくるのでそこから単体のドメインライセンスかワイルドカードライセンスかを選択すると下方にDNSレコードの定義が出てきます。
文法:www.example-test.net. CAA flag tag value
下記に自分でDNSを設定しているなら簡単にレコードを作ってくれるサイトがあるので試してみてはいかがかな。
DNSのCAAレコード作成
DNS CAAのレコードを作成するサイトへ行き次のように設定してください。最初に対象のドメインを入力し次に認証局のキーワードを入れると候補が出てくるのでそこから単体のドメインライセンスかワイルドカードライセンスかを選択すると下方にDNSレコードの定義が出てきます。
DNSのCAAレコードフォーマット
通常DNS CAAレコードは下記のような書式で定義を行います。
文法:www.example-test.net. CAA flag tag value
例:www.example-test.net. CAA 0 issue ”globalsign.com”
tag | 各カラムの説明 | value |
---|---|---|
issue | サーバー証明書を発行許可する認証局の指定 | “letsencrypt.org”などの認証局が指定している値 |
issuewild | ワイルドカード証明書を発行する認証局を指定 | “letsencrypt.org”などの認証局が指定している値 |
iodef | CAA レコードの登録チェック後、証明書発行にトラブルがあった際に申請した事を通知する連絡先 | mailto:example@example-test.net |