CAAレコードの審査についてのお知らせ

2017年09月05日

平素は弊社認証サービスをご利用頂き、誠にありがとうございます。

CA/BrowserForumでは動議187が採択され、Baseline Requirementsに準拠するためには2017年9月8日以降、サーバー証明書を発行するにあたり認証局はDNSネームサーバーのCAAレコードの確認が必須となります。

CAA(Certification Authority Authorization)とは、お客様またはドメインの管理者がDNSに認証局の情報を登録し、証明書を発行する認証局を指定するものです。このCAAの対応はRFC6844への準拠を基本としています。

新たに定められた基準

CAAに発行する認証局の登録をしている場合　→ 　証明書発行が認められる。
CAAの登録をしていない場合　　　　　　　　→ 　証明書発行は認められない。

現時点では証明書発行における例外処置が認められており、CAAが未登録の場合でも認められた条件を満たしている場合は証明書を発行することが可能です。

弊社証明書におきましては、9月8日以降にCAAが未登録の場合でも証明書が発行できるよう対応を進めており（※1）、お客様（またはドメインの管理者）が早急にCAAの登録をしなければならない、ということは現時点ではありませんが、CAAにおきましては、証明書の誤発行を防ぐために取り入れられた対応となります。

今後CA/BrowserForum の動向にもよりますが、CAAの登録におきましてはDNSの設定を確認いただき登録いただくなど、お客様の対応が必要となる可能性もございますので、ご承知おきくださいますようお願いいたします。

（※1）ご注意
すでにCAAを登録されており、弊社を指定されていない場合は証明書を発行することはできません。CAAを登録されている場合は、お申込みをいただく際に弊社認証局が指定されているかご確認ください。弊社認証局名は「sectigo.com」となります。

設定例

FujiSSL証明書の発行を許可する場合、DNSのCAAレコードを以下のように設定します。

設定内容	記述方法
シングルタイプの証明書を許可	example.com. IN CAA 0 issue “sectigo.com”
ワイルドカード証明書を許可	example.com. IN CAA 0 issuewild “sectigo.com”
不正な発行試行時に通知	example.com. IN CAA 0 iodef “mailto:yourname@example.com”