CAA レコードを使用してドメイン証明書のハイジャックを防ぐ方法 - Alibaba Cloud DNS

ドメインに CAA レコードを設定することは、Web サイトのセキュリティを向上させるための効果的な方法です。このトピックでは、CAA 標準の背景と、Cloud DNS を使用して CAA レコードを設定および検証する方法について説明します。

背景

権威ある部門によると、世界中で約数百の認証局（CA）が Web サイトの ID を検証するための HTTPS 証明書の発行を許可されています。しかし、認証局はさまざまな理由でブラウザによってブラックリストに登録されることが多く、発行された HTTPS 証明書が今後信頼されなくなると公に発表されています。そのため、これらの証明書を展開している Web サイトにアクセスすると、Google Chrome や Firefox などのブラウザに「HTTPS 証明書は信頼されていません」と表示され、ブラウザのアドレスバーの HTTPS に赤い線が引かれ、Web ページにアクセスできなくなります。

CAA（Certification Authority Authorization）は、HTTPS 証明書の誤発行を防ぐためのセキュリティ対策です。2013 年 1 月にインターネット技術標準化委員会（IETF）によって承認され、RFC6844 としてリストされました。2017 年 3 月、CA/Browser Forum は Ballot 187 を可決し、CA 組織は 2017 年 9 月 8 日から必須の CAA チェックを実行することを義務付けました。

CAA 標準では、Web サイトの所有者は、指定された CA 組織のみにドメインの証明書の発行を許可し、HTTPS 証明書の誤発行を防ぐことができます。現在、Alibaba Cloud DNS は CAA レコードタイプをサポートする上で先導的な役割を果たしています。

CAA レコード形式

CAA レコードの形式は、[flag] [tag] [value] です。これは、フラグバイト [flag] と、属性と呼ばれる [tag]-[value]（タグと値）のペアで構成されます。ドメインの DNS レコードに複数の CAA フィールドを追加できます。

フィールド	説明
flag	0 から 255 までの符号なし整数で、認証局をマークするために使用されます。ほとんどの場合、0 に設定されます。これは、証明書発行局がこの情報を検出できない場合は無視されることを示します。
tag	issue、issuewild、iodef をサポートしています。 issue：CA は、単一の認証局にあらゆる種類のドメイン証明書を発行することを許可します。 issuewild：CA は、単一の認証局にホスト名に対してワイルドカード証明書を発行することを許可します。 iodef：CA は、違反レコードの URL を特定のメールアドレスに送信できます。
value	CA のドメイン名、または違反通知用のメールアドレス。

CAA レコードを追加する

symantec.com のみにドメイン midengd.xyz の証明書の発行を許可し、違反通知をメールアドレス admin@midengd.xyz に送信するとします。次のように CAA レコードを設定できます。

Cloud DNS - パブリック権威 DNS にログインし、ターゲットドメインの行にある [操作] をクリックし、[DNS 設定] をクリックします。
次の 2 つの DNS レコードを追加します。
ホスト
レコード値
@
0 issue "symantec.example.com"
@
0 iodef "mailto:admin@midengd.xyz"

CAA レコードを検証する

dig domain record_type コマンドを使用して、CAA レコードの解決をクエリできます。テストサンプルと戻り値は次のとおりです。

sh-3.2# dig midengd.xyz caa

; <<>> DiG 9.10.5rc1 <<>> midengd.xyz caa
;; global options: +cmd
;; Got answer: // 応答を受信しました：
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26714
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION: // 質問セクション：
;midengd.xyz. IN CAA

;; ANSWER SECTION: // 回答セクション：
midengd.xyz. 600 IN CAA 0 iodef "mailto:admin@midengd.xyz"
midengd.xyz. 600 IN CAA 0 issue "symantec.com"

;; Query time: 577 msec // クエリ時間：577 ミリ秒
;; SERVER: 30.26.X.X#53(30.26.X.X)
;; WHEN: Tue Dec 05 18:55:48 CST 2017
;; MSG SIZE rcvd: 114 // 受信メッセージサイズ：114

2017 年 4 月以降、すべての CA 組織は、SSL 証明書を発行する前に、証明書発行オブジェクトのドメイン名に対して CAA 検出を実行する必要があります。現在、Route53、dyn、Cloudflare などの海外の DNS サービスプロバイダーはすでに CAA レコードをサポートしていますが、中国での採用率はまだ十分ではありません。

ネットワークセキュリティに対する社会全体の意識が高まるにつれて、Web サイトのセキュリティを強化するための対策の 1 つである CAA レコードは、金融機関、電子政府、公共サービスなどの業界のネットワークセキュリティベースライン要件になります。より多くの DNS サービスプロバイダーが CAA レコードをサポートするようになり、CAA の普及は時間の問題です。

ホスト	レコード値
@	0 issue "symantec.example.com"
@	0 iodef "mailto:admin@midengd.xyz"