Cloudflare Docs
Support
Support
Visit Support on GitHub
Set theme to dark (⇧+D)

認証局許可(CAA)に関するFAQ

​​ 認証局許可(CAA)に関するFAQ

この記事では、CAA DNSレコードに関するよくある質問に回答します。

​​ 本記事の内容


Certificate Authority Authorization(CAA)レコードにより、ドメインオーナーは、発行を特定の認証局(CA)に限定することができます。_CAAレコード_は、特定の状況下でCAが証明書を発行するのを防止します。詳細については、 RFC 6844を参照してください。


​​ CloudflareはCAAレコードをどのように評価しますか?

_CAAレコード_はCloudflareではなく、CAが評価します。


​​ _CAAレコード_がUniversal SSLの発行を除外するのに、なぜUniversal SSLを無効にしなければならないのですか?

Universal SSL証明書はお客様の間で共有されるため、_CAAレコード_が別のお客様のUniversal SSLの発行を妨げる場合があります。 したがって、Cloudflareは、別のお客様の_CAAレコード_に影響を及ぼさないようにするため、ユーザーのドメインのUniversal SSLを無効にする必要があります。

CloudflareのUniversal SSLを必要としない場合は、Cloudflare SSL/TLSアプリの**「エッジ証明書(Edge Certificates)」タブで「Universal SSLを無効にする(Disable Universal SSL)」**を選択します。


​​ Universal SSLを有効にしておくのにどのレコードが追加されますか?

Cloudflareの無料のUniversal SSL証明書を引き続き使用する場合、次のDNSレコードが自動的に設定されます:

example.com. IN CAA 0 issue "comodoca.com" example.com. IN CAA 0 issue "digicert.com" example.com. IN CAA 0 issue "letsencrypt.org" example.com. IN CAA 0 issuewild "comodoca.com" example.com. IN CAA 0 issuewild "digicert.com" example.com. IN CAA 0 issuewild "letsencrypt.org"

単独で_issuewild_ を使用すると、ワイルドカードの発行のみを許可します。したがって、**「タグ」**ドロップダウンで「ワイルドカードと特定のホスト名を許可する(Allow wildcards and specific hostnames)」 オプションを指定しない限り、Cloudflareは、ルートドメインを証明書に追加できません:

configuring_caa_records_comodoca_annotated.png


​​ Universal SSLが無効になっている場合はどうなりますか?

ドメイン名はUniversal SSL証明書からただちに削除され、 カスタムSSL証明書をアップロードする(BusinessプランまたはEnterpriseプランが必要)場合を除き、SSLエラーが表示されることになります。


​​ どのようにUniversal SSLを再度有効にできますか?

Cloudflareサポートにサポートチケットを提出してください。


​​ CAAレコードを設定することによる危険性は何ですか?

大規模な組織の一員である場合または複数の当事者がSSL証明書を取得する作業に関与している場合、組織に適用されるすべてのCAが発行できるように_CAAレコード_を含めます。  そうしないと、組織の他の部門に対するSSLの発行が誤ってブロックされる可能性があります。