CAAとは?

SSLサーバ証明書が発行可能な認証局を制御する仕組みです。ドメイン所有者が認証局を制御することで、意図しないSSLサーバ証明書の誤発行を抑制します。CAAは、DNSサーバにCAAレコードを設定することで利用可能となります。認証局はSSLサーバ証明書を発行する前にSSLサーバ証明書の発行対象であるコモンネームのCAAレコ―ドをチェックし以下のとおり動作します。

  • コモンネームのCAAレコードに特定の認証局が設定されている場合は、その認証局以外はSSLサーバ証明書を発行することができません。
  • コモンネームにCAAレコードが設定されていない場合は、どの認証局もSSLサーバ証明書を発行することができます。
  • CAAレコードの設定はサブドメインに継承されます。
  • ドメインとサブドメインの両方にCAAレコードが設定されている場合は、サブドメインの設定が優先されます。

ドメインのCAAレコードにCSP SSLの値を設定し、サブドメインにCAAレコードを設定しない場合

各サブドメインにドメインのCAAレコードが継承されるので、全てのコモンネームでCSP SSLのみ発行可となります。

example.com → CSP SSLのみ発行可
├ test.example.com → CSP SSLのみ発行可
└ sales.example.com → CSP SSLのみ発行可
  └ members.sales.example.com → CSP SSLのみ発行可

サブドメインを保有するコモンネームのCAAレコードにCSP SSLの値を設定し、ドメインまたは他のコモンネームにCAAレコードを設定しない場合

下記の例の場合 sales.example.com と members.sales.example.com に適用されます。

example.com → 他社発行可(CAAレコードがない)
├ test.example.com → 他社発行可(CAAレコードがない)
└ sales.example.com → CSP SSLのみ発行可
  └ members.sales.example.com → CSP SSLのみ発行可

ドメインのCAAレコードにCSP SSLの値を設定し、テスト用のコモンネームに他社AのCAAレコードを設定する場合

テスト用のコモンネームは他社AのCAAレコードが優先されるため、CSP SSLは発行することができません。それ以外のコモンネームは当社のみ発行可となります。

example.com → CSP SSLのみ発行可
├ test.example.com → 他社Aのみ発行可
└ sales.example.com → CSP SSLのみ発行可
  └ members.sales.example.com → CSP SSLのみ発行可

ドメインのCAAレコードにCSP SSLと他社Aの両方の値を設定し、サブドメインにCAAレコードを設定しない場合

全てのコモンネームでCSP SSLと他社Aのみ発行可となります。

example.com → CSP SSLと他社Aのみ発行可
├ test.example.com → CSP SSLと他社Aのみ発行可
└ sales.example.com → CSP SSLと他社Aのみ発行可
  └ members.sales.example.com → CSP SSLと他社Aのみ発行可

CAAレコードの設定値

FQDNタイプの発行許可 0 issue "認証局指定のFQDN"
ワイルドカードタイプの発行許可 0 issuewild "認証局指定のFQDN"
発行が許可できなかった無効リクエストの通知 0 iodef "通知先"

全認証局からSSLサーバ証明書の発行を拒否する場合

CAAレコードを設定しない場合は、どの認証局もSSLサーバ証明書を発行することができます。SSLサーバ証明書の発行を意図的に拒否する場合は、設定値に";"を設定してください。
FQDNタイプのみサーバ証明書の発行を許可し、ワイルドカードタイプを全て拒否する場合などにご利用いただけます。

www 0 issue     "comodoca.com"
@   0 issuewild ";"

iodefプロパティ

iodefプロパティを設定する場合、認証局は発行が許可できなかった無効リクエストを設定したアドレスに通知します。通知先は『URL』もしくは『mailto:メールアドレス』で指定します。認証局が未対応の場合は通知しません。

CSP SSLのCAAレコードの設定値

CSP SSLのCAAレコード設定値は以下の通りです。

FQDNタイプ

0 issue "comodoca.com"

ワイルドカードタイプ

0 issuewild "comodoca.com"

ページの先頭に戻る

  1. ホーム
  2. 基礎から学ぶSSL入門ガイド
  3. CAAとは?