CAAレコード・・余り聞きなれないレコードだけど、Certification Authority Authorizationって事らしく、bindやPowerDNSなどほどんどのDNSサーバで対応しているレコードらしい。
SSL証明書を使ってない人にとっては、それがどうしたなんだけど(^^;)
どうやらCA/BrowserForumでSSL証明書を発行するには、そのドメインやサブドメインで証明書を発行できる認証局を指定しておく事ってのが必須と決まったそうな。
なので、2017年夏以降に徐々に対応し始めてるみたいなので利用してる業者によっては既にSSL証明書を取得にはCAAレコードを追加しておく必要があるかもしれない。
ただし、すぐには出来ないだろうからってのでSSL発行業者の方で一定期間はCAAレコード無しでも発行できる対応をするそうな。
CAA対応についてはRFC6844への準拠って事らしい。
RFC 6844 - DNS Certification Authority Authorization (CAA) Resource Record
例えば、Let's Encryptのみを許可したい場合のbindのzoneファイルには以下の様に追記する
例)
example.jp IN CAA 0 issue "letsencrypt.org"
example.jp IN CAA 0 issuewild ";"
example.jp IN CAA 0 iodef "admin@example.jp"
1行目のissueで認証局を指定。
example.jp IN CAA 0 issue "letsencrypt.org"
example.jp IN CAA 0 issue "fujissl.jp"
こんな風にissueを複数行書けば信用する認証局を増やす事は出来る(はず)
2行目のissuewild ";"はワイルドカードを使ったSSL証明書は申請を拒否する場合にこのように書くそう
3行目は不正な証明書登録や更新をされた場合の連絡先メールアドレスです。
# dig example.jp caa
って問合せすればちゃんと返事がある。
なるほどねぇ~
実践DNS DNSSEC時代のDNSの設定と運用 (アスキー書籍)
- 出版社/メーカー: KADOKAWA / アスキー・メディアワークス
- 発売日: 2014/02/20
- メディア: Kindle版
- この商品を含むブログを見る
これは関係ない(笑)DNSって検索したら最初に出て来た(^^;)
こっちは構築した事ないんだよねぇ
- 作者: Jesse Russell,Ronald Cohn
- 出版社/メーカー: Book on Demand Ltd.
- 発売日: 2012/08/18
- メディア: オンデマンド (ペーパーバック)
- この商品を含むブログを見る
おぉ~こんなのあるんだ。買わないけどねw
インターネットRFC事典―Request for comments (ポイント図解式)
- 作者: マルチメディア通信研究会
- 出版社/メーカー: アスキー
- 発売日: 1998/10
- メディア: 単行本
- クリック: 32回
- この商品を含むブログ (5件) を見る
うむぅ~やっぱ発売日が新しい本の方が最新情報になってるだろうから良いんだろうね