認証局許可(CAA)に関するFAQ
認証局許可(CAA)に関するFAQ
この記事では、CAA DNSレコードに関するよくある質問に回答します。
本記事の内容
- CAAとは?
- CloudflareはCAAレコードをどのように評価しますか?
- CAAレコードがUniversal SSLの発行を除外するのに、なぜUniversal SSLを無効にしなければならないのですか?
- Universal SSLを有効にしておくのにどのレコードが追加されますか?
- Universal SSLが無効になっている場合はどうなりますか?
- どのようにUniversal SSLを再度有効にできますか?
- CAAレコードを設定することによる危険性は何ですか?
Certificate Authority Authorization(CAA)レコードにより、ドメインオーナーは、発行を特定の認証局(CA)に限定することができます。_CAAレコード_は、特定の状況下でCAが証明書を発行するのを防止します。詳細については、 RFC 6844を参照してください。
CloudflareはCAAレコードをどのように評価しますか?
_CAAレコード_はCloudflareではなく、CAが評価します。
_CAAレコード_がUniversal SSLの発行を除外するのに、なぜUniversal SSLを無効にしなければならないのですか?
Universal SSL証明書はお客様の間で共有されるため、_CAAレコード_が別のお客様のUniversal SSLの発行を妨げる場合があります。 したがって、Cloudflareは、別のお客様の_CAAレコード_に影響を及ぼさないようにするため、ユーザーのドメインのUniversal SSLを無効にする必要があります。
CloudflareのUniversal SSLを必要としない場合は、Cloudflare SSL/TLSアプリの**「エッジ証明書(Edge Certificates)」タブで「Universal SSLを無効にする(Disable Universal SSL)」**を選択します。
Universal SSLを有効にしておくのにどのレコードが追加されますか?
Cloudflareの無料のUniversal SSL証明書を引き続き使用する場合、次のDNSレコードが自動的に設定されます:
example.com. IN CAA 0 issue "comodoca.com" example.com. IN CAA 0 issue "digicert.com" example.com. IN CAA 0 issue "letsencrypt.org" example.com. IN CAA 0 issuewild "comodoca.com" example.com. IN CAA 0 issuewild "digicert.com" example.com. IN CAA 0 issuewild "letsencrypt.org"
単独で_issuewild_ を使用すると、ワイルドカードの発行のみを許可します。したがって、**「タグ」**ドロップダウンで「ワイルドカードと特定のホスト名を許可する(Allow wildcards and specific hostnames)」 オプションを指定しない限り、Cloudflareは、ルートドメインを証明書に追加できません:
Universal SSLが無効になっている場合はどうなりますか?
ドメイン名はUniversal SSL証明書からただちに削除され、 カスタムSSL証明書をアップロードする(BusinessプランまたはEnterpriseプランが必要)場合を除き、SSLエラーが表示されることになります。
どのようにUniversal SSLを再度有効にできますか?
Cloudflareサポートにサポートチケットを提出してください。
CAAレコードを設定することによる危険性は何ですか?
大規模な組織の一員である場合または複数の当事者がSSL証明書を取得する作業に関与している場合、組織に適用されるすべてのCAが発行できるように_CAAレコード_を含めます。 そうしないと、組織の他の部門に対するSSLの発行が誤ってブロックされる可能性があります。