DNS CAA リソースレコードチェック

2017年9月8日現在、認証局 (CA) は、申請者への証明書発行が可能になる前に、ドメインの DNS 認証局許可 (CAA) リソースレコード (RR) をチェック、処理および順守することが求められます。

注意:お使いのドメイン用の証明書発行には、DigiCertのCAA リソースレコードは 必要ありません。これらの記録に関して提供された情報は、お使いのドメインのいずれかについてセットアップした CAA リソースレコードをお客様がお持ちの場合 あるいはお使いのドメインに CAA リソースレコードを 追加する場合のみ、重要になります。

証明書の発行前に、CA は CAA RR が、ドメインに証明書を発行できるかどうかの設定ができるかをチェックします。CA は、以下の条件の1つ が満たされている場合、ドメインの証明書を発行することができます。

  • ドメインのレコードがない
  • CA がドメインにそのタイプの証明書を発行することを許可する、ドメインについてのレコードがあります

お使いのドメインに DNS CAA RR がある、または作成を予定している場合、レコードが最新で正確である確認が重要です。DigiCert では、お使いのドメインについて、既存の DNS CAA RR を再チェックの上、各ドメインについて証明書を発行することを許可された各 CA があるか確認することをお勧めします。新しい DNS CAA RR の作成者が、CA が誤って至急必要となる証明書を発行しないようにするため、そのプロセスのしくみを理解していることもお勧めします。

詳細は、「DNS CAA リソースレコードチェック」 (https://www.digicert.com/dns-caa-rr-check.htm) をご覧ください。