CAA レコードについて

CAA レコードとは?

CAA レコードは、2013 年 1 月に「RFC6844 」として新しく規格化された DNS サーバーで使用するレコードの 1 つで、意図しない認証局から証明書が発行されることを防ぐ目的で策定されました。

DNS サーバーの CAA レコードに証明書の発行を許可する認証局を FQDN(ドメイン名を含む)毎 に指定することで発行元認証局を限定できます。

※ IP アドレスは対象外です。

認証局による CAA 審査の必須化

認証局は、様々な団体やブラウザベンダの策定した指針や要求事項に基づき、発行基準を定めております。

CA / Browser Forum が策定している Baseline Requirements において、2017 年 9 月 8 日以降、認証局による CAA レコードの確認が必須化されたため、本規定に従うパブリックな認証局は 証明書の発行前に CAA を確認します。

仕組みと影響

CAA レコードは、「フラグ(Issuer Critical Flag)」「タグ(tag)」「値(value)」の以下の形式で構成されます。

CAA <flags> <tag> <value>

1 つの FQDN(ドメイン名を含む)に対し、複数の CAA レコード を指定することも可能です。

フラグ(Issuer Critical Flag)

ビット 0 が 1(フラグ値=128 ~ 255)の場合は、クリティカル(無視してはならない)として扱います。
クリティカルの場合は、タグ(tag)の値を正しく解釈し、識別できないタグが含まれている場合は発行してはいけません。

※ビット 7 が 1(フラグ値=1)の場合はクリティカルではありません。しかしながら、誤用の事例を確認しているため、サイバートラストでは「フラグ値 = 1 以上」の場合にクリティカルとして扱います。

タグ(tag)・値(value)

現時点では以下の 3 種類のタグ(tag)が定義されており、それぞれに対応する値(value)を指定します。

タグ(tag) 役割 値(value)
issue サーバー証明書全般の発行を許可する認証局を指定 認証局が指定している値など
issuewild ワイルドカード証明書の発行を許可する認証局を指定 認証局が指定している値など
iodef CAA レコードの確認結果、証明書を発行できない場合に
申請があった事実を連絡する連絡先(RFC5070
mailto:または https

「issue/issuewild」として認証局を示す値(value)は、認証局が任意のドメインを指定・公開します。
なお、サイバートラストを示す値は「cybertrust.ne.jp」、「cybertrust.co.jp」です。

例)発行元の認証局としてサイバートラストを指定する場合(ワイルドカード証明書を含む)
example.com CAA 0 issue "cybertrust.ne.jp"

影響
<証明書ユーザー(サーバー管理者、お手続き担当者など)>

ご対応は不要です。また、証明書のご申請や発行・設定も従来同様です。
※ 外部規制において、CAA レコードの登録は必須ではありません。
※ 発行元の認証局をサイバートラストに限定されたい場合は、DNS サーバーの管理者が CAA レコードに「issue/issuewild」の値として「cybertrust.ne.jp」「cybertrust.co.jp」のいずれか 1 つをご登録ください。

<WEBサイト訪問者>

ご対応は不要です。PC ブラウザやスマートフォンなどのクライアント環境からの SSL/TLS 接続には影響ございません。

<認証局(パブリック)>

外部規制にて、2017 年 9 月 8 日から認証局が審査する際の CAA レコードチェックが必須化されます。

  • CAA レコード未登録の場合
    従来どおり、認証局は証明書を発行可能です。
  • CAA レコード登録済みの場合
    許可された認証局のみ、証明書を発行可能です。それ以外の認証局は発行してはいけません。