1. AMIMOTO サポート
  2. AMIMOTO Managed Hosting
  3. AMIMOTO マネージドホスティング スタートアップガイド

CAA レコードと SSL の設定・更新

CAA レコードとは

CAAリソースレコード(シーエーエーリソースレコード)
ドメイン名の登録者が、登録されたドメイン名に対応する証明書の発行を許可する認証局(Certification Authority:CA)を指定するリソースレコードです。CAAは、Certification Authority Authorizationを意味します。
ドメイン名登録者は、CAAリソースレコードを設定することで
・証明書の誤発行を防止
・不正な証明書発行要求の検知
が期待できます。

https://jprs.jp/glossary/index.php?ID=0218

 
CAA レコードは意図しない SSL 証明書の発行を防止するための仕組みです。標準では設定されていないため、SSL デジタル証明書の発行元を制限する目的で設定します。これにより SSL デジタル証明書の誤発行などを防げるものの、新規発行の際には CAA レコードに認証局を追加する必要があります。
ここでは CAA レコードが設定されているかどうかの確認と、設定されている場合の対応方法をご紹介します。

CAA レコードの設定状況を確認する

1. ドメイン管理会社や DNS サービスプロバイダに CAA レコードの設定があるか確認するか、DIG コマンドなどを使って直接画する

A. DIG コマンドを使う

以下のコマンドを Terminal. アプリケーションやプログラムで実行する

dig YOUR-DOMAIN-NAME CAA +short

 

B. Google Admin Toolbox を使う

以下の URL へアクセスして実行をする

https://toolbox.googleapps.com/apps/dig/#CAA/

CAA レコードが設定されている場合は CAA レコードが表示されます。
2. CAA に 設定を追加するへ進んでください。

CAA レコードが設定されている場合のサンプル

dig example.com CAA +short

0 issue "letsencrypt.org"
0 issuewild "comodoca.com"
0 issuewild "digicert.com"
0 issuewild "digicert.com; cansignhttpexchanges=yes"
0 issuewild "letsencrypt.org"
0 issue "comodoca.com"
0 issue "digicert.com"
0 issue "digicert.com; cansignhttpexchanges=yes"

CAA レコードが未設定の場合

何もレコードが返りません。この場合は5. サーバにドメイン名を設定するへ進んでドメイン名の設定を実施する

dig example.com CAA +short

 

2. CAA に 設定を追加する

以下のいずれかのレコードを CAA ヘ追加する
 
amazon.com
amazontrust.com
awstrust.com
amazonaws.com

 

DNS サービスプロバイダの設定例

 

Cloudflare の場合

ここでは example.com と www.example.com の CAA レコードに amazon.com を追加しています


1. example.com の CAA レコードに amazon.com  を追加する

2. www.example.com の CAA レコードに amazon.com  を追加する

 
GoDaddy の場合

1. example.com の CAA レコードに amazontrust.com  を追加する

2. www.example.com の CAA レコードに amazontrust.com  を追加する

 
Route 53

1. example.com の CAA レコードに amazonaws.com  を追加する

2. www.example.com の CAA レコードに amazonaws.com  を追加する

 

3. CAA レコードの設定完了

5. サーバにドメイン名を設定するへ進んでドメイン名の設定を実施する