Certification Authority Authorization (CAA) とは

CAAとは、ドメイン名の所有者/管理者がDNSサーバを用いて、自らが所有/管理するドメイン名に
対して証明書の発行を許可する認証局を指定することが可能になる仕組みです。

DNSサーバのゾーンファイルにCAAレコードを指定することで、ドメイン名の所有者/管理者は、
自らが管理するドメイン名に対して、意図しない認証局から証明書が発行されるリスクを低減できます。

CAA導入の背景

CAAはIETF RFC 6844 draftとして策定されました。また、CA/ブラウザフォーラムが定める業界基準文書
「Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates」(以下「BR」)では、
パブリック認証局に対して、CPS（認証局運用規定）CAAへのサポートに関する宣言を公開することを義務付けています。

CAA導入の時期

各パブリック認証局はCPS（認証局運用規定）にもとづきCAAへのサポートを開始しました。
デジサートグループ(Digicert, Thawte, GeoTrust, RapidSSL)は2017年8月29日より、CAAのサポートを開始しました。

Certification Authority Authorization (CAA) は認証局 (CA) に課せられる義務ですが、
お客様（ドメイン管理者）において、CAAレコードの設定は必須ではありません。そのため、ドメインにCAAレコードが設定されていなくてもSSLサーバ証明書は正常に発行されます。

CAAレコードの設定例

認証局(Digicert)にシングル証明書だけの発行を許可する場合

yourdomain.com CAA 0 issue "digicert.com"

認証局(Digicert)にワイルドカード証明書だけの発行を許可する場合

yourdomain.com CAA 0 issuewild "digicert.com"

認証局(Digicert)にシングル証明書とワイルドカード証明書の両方の発行を許可する場合

yourdomain.com CAA 0 issue "digicert.com"
yourdomain.com CAA 0 issuewild "digicert.com"

CAAレコードの値に設定する認証局

DNSにCAAレコードを設定する場合に以下の製品はdigicert.comを設定して下さい。

デジサート製品(旧シマンテック製品)
ジオトラスト製品
RapidSSL製品
Thawte製品

DNSにCAAレコードを設定する場合に以下の製品はsectigo.comを設定して下さい。

SECTIGO製品(旧コモド製品)

さらに詳しい情報は Digicert　DNS CAA Resource Record Check(英文)をご参照下さい。

ValueSSL トップページ