最も大きく、最も人気のある認証局は 、2017年9月8日から、証明書の発行が要求されるドメイン名またはサブドメインのCAAレコードで指定された指示に従うことを義務付けることに同意しました。
CAAレコードを使用すると、インターネットのセキュリティレベルが向上し、サードパーティのドメイン名の証明書の不正取得の発生が減少します。
CAAレコードの機能とその使用形式を説明する詳細な説明を用意しました。
レコード形式:
CAA <フラグ> <タグ> <値>
CAAレコード値は、スペースで区切られた3つの部分で構成されます。
旗
フラグ値は8ビットの数値であり、その上位ビットは認証局によるレコードの重要度を示します。 現在、次の値が有効です。
- 0- タグ値がサポートされていないか、認証局によって認識されていない場合、認証局はその裁量でドメイン名またはサブドメインの証明書を発行できます。
- 128- タグ値がサポートされていないか、認証局によって認識されていない場合、認証局はドメイン名またはサブドメインの証明書を発行しないでください。
タグ付け
タグ値には、次の値のいずれかを指定できます。
- issue-エントリの名前で使用されるドメイン名またはサブドメインの証明書を発行できる認証局を定義します。
- issuewild-名前で使用されるドメイン名またはサブドメインレコードのワイルドカード証明書の発行を許可される証明機関を定義します。 証明書は、ドメイン名またはサブドメインに直接適用され、そのすべてのサブドメインに適用されます。
- iodef -CAAレコードで定義されたドメイン名の規則に違反して証明書の要求を受け取った場合に、証明機関が通知に使用する電子メールアドレスまたはURL( RFC 5070に準拠)を定義します。
価値
値の値はタグの 値に依存し、二重引用符( "" )で囲む必要があります。
一部の認証局では、値valueに追加のパラメーターを使用できます。 この場合、パラメーターはセミコロン( ; )で区切る必要があります。
例:0発行「comodoca.com;アカウント= 12345」
- tag = issueの場合-タイトルで指定されたドメイン名またはサブドメインの証明書の発行が許可されている証明機関のドメイン名。 レコード名で指定されたドメイン名またはサブドメインのすべての認証局に対する証明書の発行を禁止するには、認証局のドメイン名の代わりにセミコロン(;)を使用する必要があります。
例:example.com。 CAA 0の問題「comodoca.com」
例:example.com。 CAA 0の問題「;」 - tag = issuewildの場合-tag = issueの場合と同様ですが、ルールはワイルドカード証明書に適用されます。
例:example.com。 CAA 0 issuewild "comodoca.com"
例:example.com。 CAA 0 issuewild ";"
- タグ= iodefの場合-電子メールアドレス( "mailto:abuse@example.com")またはURL( "http(s):// URL")、証明書発行の不正リクエストを受信した場合に認証局が使用する必要がありますエントリの名前で使用されるドメイン名またはサブドメイン。
例:example.com。 CAA 0 iodef "mailto:abuse@example.com"
機能:
- ドメイン名またはサブドメインのレコード値は、明示的に指定されていない限り、そのすべてのサブドメインに継承されます。
- 1つのドメイン名またはサブドメインに対して複数の認証局を定義するには、複数のCAAレコードを使用する必要があります。
- CAAレコードが存在しない場合、認証局は証明書を発行する許可として解釈します。
- 完全なCAAレコード仕様は、 RFC 6844で入手できます。
確認方法
example.com caaを掘る
誰が支援していますか?
すべてのDNSプロバイダーがCAAレコードをサポートしているわけではありません。 2017年8月30日現在のアルファベット順の現在のリスト:
Afraid.org無料DNS
Amazonルート53
バディーンズ
クラウドフレア
ClouDNS
Constellix DNS
DNSimple
DNSが簡単に
DynマネージドDNS
ドメネスショップ
Google Cloud DNS
ガンディ
ハリケーンエレクトリックフリーDNS
Neustar UltraDNS
NS1
ジロール
オンライン発電機?
これまたはこのオンラインジェネレーターを使用して、必要なCAAレコードを正確かつ迅速に作成できます。