CAAレコードの審査についてのお知らせ
2017年09月05日
平素は弊社認証サービスをご利用頂き、誠にありがとうございます。
CA/BrowserForumでは動議187が採択され、Baseline Requirementsに準拠するためには2017年9月8日以降、サーバー証明書を発行するにあたり認証局はDNSネームサーバーのCAAレコードの確認が必須となります。
CAA(Certification Authority Authorization)とは、お客様またはドメインの管理者がDNSに認証局の情報を登録し、証明書を発行する認証局を指定するものです。このCAAの対応はRFC6844への準拠を基本としています。
新たに定められた基準
- CAAに発行する認証局の登録をしている場合 → 証明書発行が認められる。
- CAAの登録をしていない場合 → 証明書発行は認められない。
現時点では証明書発行における例外処置が認められており、CAAが未登録の場合でも認められた条件を満たしている場合は証明書を発行することが可能です。
弊社証明書におきましては、9月8日以降にCAAが未登録の場合でも証明書が発行できるよう対応を進めており(※1)、お客様(またはドメインの管理者)が早急にCAAの登録をしなければならない、ということは現時点ではありませんが、CAAにおきましては、証明書の誤発行を防ぐために取り入れられた対応となります。
今後CA/BrowserForum の動向にもよりますが、CAAの登録におきましてはDNSの設定を確認いただき登録いただくなど、お客様の対応が必要となる可能性もございますので、ご承知おきくださいますようお願いいたします。
(※1)ご注意
すでにCAAを登録されており、弊社を指定されていない場合は証明書を発行することはできません。CAAを登録されている場合は、お申込みをいただく際に弊社認証局が指定されているかご確認ください。弊社認証局名は「sectigo.com」となります。
設定例
FujiSSL証明書の発行を許可する場合、DNSのCAAレコードを以下のように設定します。
| 設定内容 | 記述方法 |
|---|---|
| シングルタイプの証明書を許可 | example.com. IN CAA 0 issue “sectigo.com” |
| ワイルドカード証明書を許可 | example.com. IN CAA 0 issuewild “sectigo.com” |
| 不正な発行試行時に通知 | example.com. IN CAA 0 iodef “mailto:yourname@example.com” |
よく読まれている質問
- OV証明書 自動化手順(ACME対応)
- DV証明書 自動化手順(ACME対応)
- Certbot インストール&設定ガイド(FujiSSL ACME)
- クロスサインが必要なのはどんな時ですか?また、利用者は何をすればよいのでしょうか?...
- DNS 設定ガイド(HTTP-01 / DNS-01 共通)
- acme.sh インストール&設定ガイド(FujiSSL ACME)
- cert-manager 導入&設定ガイド(FujiSSL ACME)
- win-acme(Windows IIS)
- lego インストール&設定ガイド(FujiSSL ACME)
- クライアント証明書発行までの流れ
- ファイル認証のクローラーのIPアドレスを教えてください
- FujiSSLではどのACMEクライアントが使えますか?
- 身に覚えのない11円の請求がありました。なぜですか?
- 複数年プランについて
当サイトではFujiSSLのSSL証明書を使用し、常時SSL暗号化通信を行っています。 FujiSSL サイトシールをクリックして、検証結果をご確認いただけます。
電話をかける
お問い合わせ