ドメインに CAA レコードを設定すると、Web サイトのセキュリティが向上します。本トピックでは、CAA 標準の背景情報と、Alibaba Cloud DNS を使用した CAA レコードの設定および検証方法について説明します。
背景情報
世界中には数百もの認証局 (CA) があり、HTTPS 証明書を発行して Web サイトの ID を検証する権限を持っています。しかし、さまざまな理由により、ブラウザによって認証局がブラックリストに登録されることがあります。ブラウザが特定の CA を信頼しなくなると、その CA が発行したすべての HTTPS 証明書も信頼されなくなります。その結果、こうした証明書を使用している Web サイトにアクセスしようとすると、Google Chrome や Firefox などのブラウザは「HTTPS 証明書が信頼されていません」というエラーを表示し、アドレスバーに赤い取り消し線を表示してページへのアクセスをブロックすることがあります。
Certification Authority Authorization (CAA) は、HTTPS 証明書の誤発行を防止するためのセキュリティ対策です。この仕組みは、2013 年 1 月にインターネット技術特別委員会 (IETF) によって RFC 6844 として標準化されました。その後、2017 年 3 月に CA/ブラウザフォーラムが Ballot 187 を可決し、2017 年 9 月 8 日以降、すべての認証局が CAA チェックを実施することを義務付けました。
CAA 標準により、ドメイン所有者は自ドメインに対して証明書を発行できる認証局を指定できます。これにより、不正な証明書発行を防止できます。Alibaba Cloud DNS は CAA レコードタイプをサポートしています。
CAA レコード形式
CAA レコードの形式は [flag] [tag] [value] です。これはフラグバイト [flag] とプロパティ([tag]-[value] のタグ・値ペア)で構成されます。1 つのドメインの DNS レコードに複数の CAA フィールドを追加できます。
|
フィールド |
説明 |
|
flag |
0 ~ 255 の符号なし整数です。通常、フラグは 0 に設定されます。この値は、認証局がこのレコード内のプロパティを認識できない場合、そのレコードを無視しなければならないことを示します。 |
|
tag |
タグは
|
|
value |
許可された認証局のドメイン、または違反報告用のメールアドレスです。 |
CAA レコードの追加
たとえば、ドメイン midengd.xyz に対して証明書を発行できる認証局を symantec.com のみに限定し、違反報告を admin@midengd.xyz 宛てに送信するように CAA レコードを設定する場合、以下の手順に従います。
-
Alibaba Cloud DNS - パブリックゾーン コンソールにログインします。ドメインリストで設定するドメインを見つけ、操作列の 解決設定 をクリックします。
-
以下の 2 つの CAA レコードを追加します。
ホストレコード
値
@
0 issue "symantec.com"
@
0 iodef "mailto:admin@midengd.xyz"
CAA レコードの検証
dig domain record_type コマンドを使用して、CAA レコードの解決結果をクエリできます。以下にサンプルクエリとその結果を示します。
sh-3.2# dig midengd.xyz caa
; <<>> DiG 9.10.5rc1 <<>> midengd.xyz caa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26714
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;midengd.xyz. IN CAA
;; ANSWER SECTION:
midengd.xyz. 600 IN CAA 0 iodef "mailto:admin@midengd.xyz"
midengd.xyz. 600 IN CAA 0 issue "symantec.com"
;; Query time: 577 msec
;; SERVER: 30.26.X.X#53(30.26.X.X)
;; WHEN: Tue Dec 05 18:55:48 CST 2017
;; MSG SIZE rcvd: 114
2017 年 4 月以降、すべての認証局は SSL 証明書を発行する前に CAA レコードをチェックする必要があります。Amazon Route 53、Dyn、Cloudflare などの主要な国際的な DNS サービスプロバイダーはすでに CAA レコードをサポートしていますが、中国国内での導入はまだ広く普及していません。
サイバーセキュリティ意識の高まりに伴い、CAA レコードは金融サービス、電子政府、公共サービスなどの業界においてベースラインとなるセキュリティ要件になりつつあります。今後、より多くの DNS サービスプロバイダーが CAA レコードをサポートし、広範な導入が避けられない状況になると予想されます。