DNS CAA リソースレコードチェック

認証局は、証明書の発行前に CAA リソースレコードをチェックします

認証局 (CA) によるお使いのドメインに対する SSL/TLS 証明書発行が可能になる前に、そのドメインの DNS 認証局の認証 (CAA) リソースレコード (RR) をチェック、処理し、準拠しなければなりません。(「バロット 125 – CAA レコード[合格済],RFC 6844,および バロット 219:"issue"/"issuewild" プロパティタグ がない CAA レコードセットの処理を明確化する」を参照してください。)

お使いのドメイン用の SSL/TLS 証明書発行には、DigiCert の CAA リソースレコードは 必要ありません。ここに記載の情報は、お客様が以下の状況のうち1つに該当する場合にのみ、重要になります。

  • お客様はすでに、ドメイン用に CAA リソースレコードをセットアップしています。
  • ドメイン用に CAA リソースレコードを追加しますか?

CAA のメリットについての詳細は、「CAA のセキュリティ上のメリット」 を参照してください。

CAA RR プロセスのしくみ

ドメイン用の SSL/TLS 証明書の発行前に、CA (DigiCert など)は CAA RR が、ドメインに証明書を発行できるかどうかの設定ができるかをチェックします。CA は、以下の条件の1つ が満たされている場合、ドメインの証明書を発行することができます。

  • お客様のドメイン用の CAA RR が見つかりません。
  • そのタイプの証明書の発行を認証する、ドメイン用に CAA RR を探します。
  • "issue" または "issuewild" プロパティタグがドメインにない、CAA RR のみを探します。

単一 CAA RR のべき乗

CAA リソースレコード (RR) を作成して DigiCert によるドメイン用の SSL/TLS 証明書の発行を認証した後、他のすべての認証局 (CA) がそのドメイン用に証明書を発行することから効果的に除外しました。そのドメイン用に別の CA の発行を認証する唯一の方法は、その CA 用に別の CAA RR を作成することです。

そのドメインに CAA RR がない場合、CA はすべてのタイプの SSL/TLS 証明書をそのドメイン用に発行できることになります。

そのドメイン用に CAA RR が1つある場合、CA は、そのドメイン用に SSL/TLS 証明書の発行を認証する CAA RR を探す必要があることになります。ドメイン用に CAA RR をはじめて作成する場合、そのドメインがお客様の組織の SSL/TLS 証明書要件をサポートするのに十分なポリシーの作成が必要であることを理解することが重要です。

このように、CAA リソースレコードにより、そのドメインの証明書発行を正確に管理することができます。この管理を利用して、未承認の認証局がお客様のドメイン用に証明書を発行するのを防止することができます。

DigiCert、Symantec、Thawte、GeoTrust、RapidSSL ブランド証明書用の CA 認証。

Symantec のウェブサイトセキュリティと関連 PKI ソリューションの取得 では、,DigiCert は1つの認証局 – DigiCert 下の業界をリードする証明書ブランドを取りまとめています。お客様が yourdoman.com 用に CAA RR を作成し DigiCert によるその SSL/TLS 証明書 (yourdomain CAA 0 issue "digicert.com") 発行を認証する場合、DigiCert による そのドメイン用の DigiCert、Symantec、Thawte、GeoTrust、および RapidSSL ブランド SSL/TLS 証明書を認証することになります。

CAA RR を作成し Symantec による yourdomain.com (yourdomain CAA 0 issue "symantec.com") の SSL/TLS 証明書を発行する場合も同じです。レコード1つで DigiCert がそのドメイン用の DigiCert、Symantec、Thawte、GeoTrust、および RapidSSL ブランド SSL/TLS 証明書を発行することができます。

有効な CAA リソースレコード値

お客様が現在、CAA レコードで DigiCert による SSL/TLS certificate証明書の発行認証に使用できる、有効な CAA RR 値は以下のとおりです。

  • digicert.com
  • www.digicert.com
  • digicert.ne.jp
  • cybertrust.ne.jp
  • symantec.com
  • thawte.com
  • geotrust.com
  • rapidssl.com

記載された値はすべて、等価です。すなわち、それらの値のいずれか1つを使用しても、DigiCert が、DigiCert 証明書ブランド、ポータル、製品などすべての SSL/TLS 証明書を発行することができます。

CAA RR の設定が適切かを確認する

ドメイン用に DNS CAA RR がありますか、または作成予定がありますか?レコードが最新で正確であることの確認が重要です。

DigiCert では、SSL/TLS 証明書をオーダーする前に、ドメイン用の既存の DNS CAA RR をチェックすることを推奨します。ドメイン用に SSL/TLS 証明書の発行を認証された各 CA に必要なレコードがあるかを確認します。また、新しい DNS CAA RR の作成担当者がプロセスの仕組みを理解していることも推奨します。設定不良の CAA RR により偶発的に CA が、早急に必要な証明書を発行することを防止させないようにしてください。

「DigiCert 証明書ブランドの取得のための ドメインの DNS CAA RR の編集方法」 を参照してください。

DNS CAA リソースレコードとは何ですか?

認証局の認証 (CAA) リソースレコード (RR) により、ドメインオーナーは、個別認証局 (CA) がsの関連ドメイン用に SSL 証明書を発行することを認証するポリシーを作成できるようになります。ドメインオーナーは CAA RR を使用して、ドメイン全体 (例. example.com) あるいは個別のホスト名 (例. mail.example.com) 用にセキュリティポリシーを作成できます。

ベースドメイン用に CAA RR を作成する場合、個別のサブドメイン用に CAA RR を作成しないかぎり、実際は、そのポリシーにサブドメイン用のアンブレラポリシーを作成を作成することになります。example.com 用に CAA RR ブランドがあっても、mail.example.com に別のセキュリティポリシーを作成したいですか?mail subdomain 専用に追加で CAA RR を作成します。

このレコードを作成した場合、mail.example.com 用に SSL/TLS 証明書をオーダーすると、CA は DNS にそのサブドメイン用の CAA RR を照会します。CA が mail.example.com 用のレコードを探す場合、検索は停止し、証明書オーダーにそのポリシーを適用します。CA が mail.example.com, 用のレコードを探さない場合、DNS が親ドメイン example.com で CAA RR を照会し続けます。CA が example.com 用のレコードを探す場合、mail.example.com の証明書オーダーに親ドメインのポリシーを適用します。

DNS CAA リソースレコードシンタックス

認証局の認証 (CAA) リソースレコード (RR) は、プロパティとして参照されるシングルバイト flagtag-value ペア (RFC 6844 セクション 3、5.1) で構成されています。flag は 0~255 の間の未割当整数です。タブ値ペアの tag は US-ASCII 文字と数字で構成されていますが、値は、タグ値プロパティの値を表すオクテット文字列です。

CAA RR プロパティタグ

ドメイン名用に複数の CAA RR を発行することで、同じドメインに複数のプロパティを関連づけることができます。ただし、各 CAA RR は1つの CA にドメインの証明書 (あるいはいくつかのインスタンスでは、1つのタイプの証明書) の発行を認証することのみ可能です。

複数の CA がドメイン用に証明書を発行できるようにするには、少なくとも1つの CAA RR を各 CA (また、あるインスタンスでは2つの CAA RR) について作成する必要があります。CAA RR のセットアップについてのヘルプは、CAA レコードヘルパー をご覧ください。

"発行"プロパティタグ

このプロパティタグを使用して、CA (DigiCert など) がドメイン用にワイルドカード証明書のみを発行する認証を行います。*.yourdomain のワイルドカード証明書オーダーの処理時、CA はドメインの DNS に "issuewild" プロパティタグを含む CAA RR があるか照会します。CA が "issuewild" プロパティタグを探す場合、そのドメイン用の "issue" プロパティタグがある CAA RR はすべて無視されます。CA が同じドメイン用にワイルドカード証明書の発行を認証するには、各 CA について一意の CAA RR を作成する必要があります。

generic
yourdomain CAA 0 issuewild "digicert.com"

その"issuewild"プロパティタグのしくみ

"issuewild" プロパティタグは CA にドメイン用のワイルカード証明書のみの発行を認証します (*.domain.com、*.sub.domain.com、*.sub.sub.domain.com など)。ここでは、CA はドメイン用にワイルドカード証明書以外を発行することはできません (domain.com、sub.domain.com、sub.sub.domain.com、など)。

その"issuewild"プロパティタグ

使用が適切になされている場合、"issuewild" プロパティタグは、ワイルドカード証明書発行ポリシーの効果的なツールになる場合があります。

例えば、ドメイン用に "issue" CAA RR を3つ作成します。後で、それらの CA の1つのみをドメイン用のワイルドカード証明書にすることを決定します。それで、"issuewild" CAA RR を作成して CA による *.yourdomain ワイルドカード証明書の発行を認証します。3つの CA はすべて、ドメイン用にワイルドカード以外の証明書を引き続き発行できますが、これで、CA 1つでそのワイルドカード証明書を発行することができます。

DigiCert によるドメイン用のワイルドカード証明書の発行を認証する

*.yourdomain 用にワイルドカード証明書をオーダーする場合、DigiCert にドメインを追加費用なしで含められます。これにより、"issuewild" CAA RR (yourdomain CAA 0 issuewild "digicert.com") を作成して、DigiCert がベースとサブドメインにワイルドカード証明書のみを発行する認証を行う場合、問題が発生します。

お使いのドメイン (すなわち、mail.yourdomain) が *.yourdomain (または *.mail.yourdomain) 用のワイルドカード証明書オーダーに含まれるため、当社でお客様のワイルドカード証明書をお客様用に作成できるようにするため、以下のオプションのうち1つを使用しなければなりません。

  1. “issue” CAA RR を DigiCert 用に作成する

    ドメイン用に "issuewild" CAA RR を作成する個別の理由がないかぎり、作成しないでください。"issue" CAA RR のみの管理がより簡単です。

generic
yourdomain CAA 0 issue "digicert.com"
  1. “issue” CAA RR と “issuewild” を DigiCert 用に作成する

    組織ポリシーで許可され、ドメイン用に “issuewild” CAA RR を作成しなければならない場合、2つのルーツを作成します。

generic
yourdomain CAA 0 issue "digicert.com"
yourdomain CAA 0 issuewild "digicert.com"
  1. お問い合わせ

    組織ポリシーにより、DigiCert によるドメイン用のワイルカード以外の証明書を発行認証ができない場合は、お問い合わせいただければ、,当社がお客様と相談の上、当社側でワイルドカード証明書の発行ができるように、問題の解決方法を探します。

その"issuewild"プロパティの使用方法が正しくない

使用が適切になされていない場合、"issuewild" プロパティが CA による、ドメイン用に必要な証明書の発行を効果的にブロックする場合があります。証明書オーダーの処理時、CA は (1) CA がワイルドカード証明書用にオーダーを処理していない場合、 (2) "issuewild" タグがそのドメイン用の CAA RR のみではない場合、"issuewild" プロパティタグのある CAA RR をすべて無視します。

  1. CA はワイルドカード証明書用にオーダーを処理する

    単一 "issuewild" レコードをドメイン (yourdomain CAA 0 issuewild "digicert.com") 用に作成する場合、"issuewild" レコードのない他のすべての CA が、そのドメイン用にワイルドカード証明書を発行するのを効果的に除外します。レコード作成時にそれがお客様の目的ではない場合、各 CA について追加 "issuewild" レコードを作成して、そのドメイン用にワイルドカード証明書を発行する必要があります。

  2. "issuewild" CAA RR – そのドメイン用に作成したレコード唯一のタイプ

    そのドメインにワイルドカード以外の証明書をオーダーする場合、CA は "issuewild" CAA RR がレコードの唯一のタイプでないかぎり、そのドメインの "issuewild" CAA RR をいずれも無視します。この場合、CA はそのドメイン用にワイルドカード以外の証明書を発行できません。

    CAA RR を使用する基本的な理由は、ドメイン用の証明書発行ポリシーを作成することです。付属の "issue" レコードなしで ドメイン(yourdomain CAA 0 issuewild "digicert.com")用に単一 "issuewild" レコードを作成することで、2つのことを伝えることになります。

    1. お客様がこの CA (およびこの CA のみ) がドメイン用にワイルドカード証明書の発行を認証する。
    2. お客様が CA によりドメイン用のワイルドカード以外の証明書の発行を希望しない。
      CAA RR はこのようなしくみになっており、"issuewild" CAA RR のみを yourdomain.com 用に作成する場合のお客様の目的になります。

    ドメイン用に "issuewild" CAA RR をはじめて作成する場合、SSL/TLS 証明書認証 (ワイルドカード以外とワイルドカード) moving forward.の両方のタイプを先に進めるためにポリシー(CAA RR)を作成する必要があることを理解することが重要です。

CAA RR および CNAME をまとめる方法

別のドメイン (例. my.blog.example.net) を指す CNAME レコードを含むドメイン (例. my.blog.example.com) 用の SSL/TLS 証明書を申請する場合、認証局 (CA) は、個別プロセス(ベースライン要件[BR に記載]) にしたがって、CAA RR を探し、お使いの証明書の発行を認証します。

CNAME ターゲット

リソース消費攻撃に対する予防対策として、CA は最大8個の CNAME ターゲットに従う必要があるのみです (8個またはそれ以下の CNAME レコード: blog.example.com は blog.example.net 用の CNAME、すなわち、blog.example.org など、8 レベルの CNAME)。

このプロセスは、証明書申請時のドメイン名からはじまり、トップレベルドメインまで続きます。このプロセスは、CAA RR が見つかった場合、途中のいずれかのポイントで停止します。続いて、CAA RR は CA が証明書の発行の認証を受けるかどうかを決定します。

CNAME がある場合の CAA RR チェックワークフローの例

拡大図をみるには、 こちら をクリックしてください。

ステップ 1:CA は CAA RR について、証明書申請のドメイン名 my.blog.example.com をチェックします。

CA が証明書申請のドメインに CAA レコードを見つけた場合、検索は停止します。CA は、証明書の発行の認証を受ける CAA レコードがあるかどうかをチェックして確認します。レコードを見つけた場合、CA が証明書を発行します。レコードが見つからない場合、CA は証明書を発行できません。

CA が証明書申請についてドメインの CAA レコードを見つけない場合、CAA レコード検索は継続されます。.

ステップ 2:CA は CAA RR の CNAME ターゲットドメイン my.blog.example.net をチェックします。

CA が CNAME ターゲットドメイン用の CAA を見つけた場合、検索は停止します。CA は、証明書の発行の認証を受ける CAA レコードがあるかどうかをチェックして確認します。レコードを見つけた場合、CA が証明書を発行します。レコードが見つからない場合、CA は証明書を発行できません。

CA がターゲットドメインの CAA レコードを見つけられない場合、CAA レコードの検索は継続されます

ステップ 3:CA は元のドメインの親ドメイン blog.example.com について、CAA RR がないかをチェックします。

CA が元のドメインの親ドメインについて CAA レコードを見つけた場合、検索は停止します。CA は、証明書の発行の認証を受ける CAA レコードがあるかどうかをチェックして確認します。レコードを見つけた場合、CA が証明書を発行します。レコードが見つからない場合、CA は証明書を発行できません。

CA が元のドメインの親ドメインについて CAA レコードを見つけられない場合、CAA レコード検索は継続します

ステップ 4:CA は CAA RR に元のドメインのベースドメイン example.com があるかをチェックします。

CA が元のドメインのベースドメインに CAA レコードを見つけた場合、検索は停止します。CA は、証明書の発行の認証を受ける CAA レコードがあるかどうかをチェックして確認します。レコードを見つけた場合、CA が証明書を発行します。レコードが見つからない場合、CA は証明書を発行できません。

CA が元のドメインのベースドメインについて CAA レコードを見つけられない場合、CAA レコード検索は継続します

ステップ 5:CA は CAA RR に元のドメインのトップレベル domain–com があるかどうかをチェックします。

CA が CAA レコードに元のドメインのトップレベルドメインを見つけた場合、検索は停止します。CA は、証明書の発行の認証を受ける CAA レコードがあるかどうかをチェックして確認します。レコードを見つけた場合、CA が証明書を発行します。レコードが見つからない場合、CA は証明書を発行できません。

CA が CAA レコードについて元のドメインのトップレベルドメインを見つけた場合、CAA は証明書を発行します

追加情報: