採用情報

お問い合わせ

CAA レコードについて

CAA レコードについて

CAA レコードとは?

CAA レコードは、2013 年 1 月に「RFC6844 」として新しく規格化された DNS サーバーで使用するレコードの 1 つで、意図しない認証局から証明書が発行されることを防ぐ目的で策定されました。

DNS サーバーの CAA レコードに証明書の発行を許可する認証局を FQDN(ドメイン名を含む)毎 に指定することで発行元認証局を限定できます。

※ IP アドレスは対象外です。

認証局による CAA 審査の必須化

認証局は、様々な団体やブラウザベンダの策定した指針や要求事項に基づき、発行基準を定めております。

CA / Browser Forum が策定している Baseline Requirements において、2017 年 9 月 8 日以降、認証局による CAA レコードの確認が必須化されたため、本規定に従うパブリックな認証局は 証明書の発行前に CAA を確認します。

仕組みと影響

CAA レコードは、「フラグ(Issuer Critical Flag)」「タグ(tag)」「値(value)」の以下の形式で構成されます。

CAA <flags> <tag> <value>

1 つの FQDN(ドメイン名を含む)に対し、複数の CAA レコード を指定することも可能です。

フラグ(Issuer Critical Flag)

ビット 0 が 1(フラグ値=128 ~ 255)の場合は、クリティカル(無視してはならない)として扱います。
クリティカルの場合は、タグ(tag)の値を正しく解釈し、識別できないタグが含まれている場合は発行してはいけません。

※ビット 7 が 1(フラグ値=1)の場合はクリティカルではありません。しかしながら、誤用の事例を確認しているため、サイバートラストでは「フラグ値 = 1 以上」の場合にクリティカルとして扱います。

タグ(tag)・値(value)

現時点では以下の 3 種類のタグ(tag)が定義されており、それぞれに対応する値(value)を指定します。

タグ(tag) 役割 値(value)
issue サーバー証明書全般の発行を許可する認証局を指定 認証局が指定している値など
issuewild ワイルドカード証明書の発行を許可する認証局を指定 認証局が指定している値など
iodef CAA レコードの確認結果、証明書を発行できない場合に
申請があった事実を連絡する連絡先(RFC5070
mailto:または https

「issue/issuewild」として認証局を示す値(value)は、認証局が任意のドメインを指定・公開します。
なお、サイバートラストを示す値は「cybertrust.ne.jp」、「cybertrust.co.jp」です。

例)発行元の認証局としてサイバートラストを指定する場合(ワイルドカード証明書を含む)
example.com CAA 0 issue "cybertrust.ne.jp"

影響
<証明書ユーザー(サーバー管理者、お手続き担当者など)>

ご対応は不要です。また、証明書のご申請や発行・設定も従来同様です。
※ 外部規制において、CAA レコードの登録は必須ではありません。
※ 発行元の認証局をサイバートラストに限定されたい場合は、DNS サーバーの管理者が CAA レコードに「issue/issuewild」の値として「cybertrust.ne.jp」「cybertrust.co.jp」のいずれか 1 つをご登録ください。

<WEBサイト訪問者>

ご対応は不要です。PC ブラウザやスマートフォンなどのクライアント環境からの SSL/TLS 接続には影響ございません。

<認証局(パブリック)>

外部規制にて、2017 年 9 月 8 日から認証局が審査する際の CAA レコードチェックが必須化されます。

  • CAA レコード未登録の場合
    従来どおり、認証局は証明書を発行可能です。
  • CAA レコード登録済みの場合
    許可された認証局のみ、証明書を発行可能です。それ以外の認証局は発行してはいけません。
サーバー証明書専用お問合せフォーム

SSL/TLS サーバー証明書 SureServer について、導入や更新のご相談・ご質問などがありましたら、下記のフォームよりお問い合わせください。

お問い合わせ内容 必須
更新に関するお見積り依頼・お問合せなどの際は、受付番号やコモンネームなどをご記入頂くと、スムーズなご対応が可能になります。
会社名・団体名 必須
部署名
お名前 必須
メールアドレス 必須 ※入力間違いにご注意ください。
電話番号 必須
ユーザー ID
SureBoard または SureHandsOn のユーザー ID をお持ちの場合、ユーザー ID をご記入ください。
詳しくはサイバートラストのプライバシーポリシーをご覧ください。

デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime
組込み Linux にプラスして 長期間の製品ライフサイクルをサポート EM+PLS