すべてのプロダクト
Search

このプロダクト

    Alibaba Cloud DNS:HTTPS 証明書を発行できる認証局を指定するための CAA レコードの設定

    ドキュメントセンター

    Alibaba Cloud DNS:HTTPS 証明書を発行できる認証局を指定するための CAA レコードの設定

    最終更新日:Feb 13, 2026

    Web サイトのセキュリティを向上させるために、ご利用のドメインに CAA レコードを設定します。このトピックでは、Certification Authority Authorization (CAA) 標準の背景情報と、Alibaba Cloud DNS を使用した CAA レコードの設定および検証方法について説明します。

    背景情報

    世界中には、Web サイトの ID を検証する HTTPS 証明書を発行できる認証局 (CA) が約 100 社存在します。ただし、一部の CA はブラウザのブラックリストに追加され、信頼できないことが公に宣言される場合があります。このような CA が発行した証明書を使用している Web サイトにアクセスすると、Google Chrome や Firefox などのブラウザに「HTTPS 証明書は信頼されていません」という警告が表示されます。アドレスバーの HTTPS 表示部分に赤い線が引かれ、ページが読み込まれなくなります。

    Certification Authority Authorization (CAA) は、HTTPS 証明書の不正発行を防止するためのセキュリティメジャーです。インターネット技術タスクフォース (IETF) は、2013 年 1 月に CAA 標準を RFC 6844 として承認しました。さらに、2017 年 3 月に CA/Browser Forum が Ballot 187 を可決し、2017 年 9 月 8 日以降、すべての CA に対して CAA チェックを必須とすることを義務付けました。

    CAA 標準により、ドメインオーナーは特定の CA のみに自ドメイン向けの証明書発行を許可できます。これにより、不正または誤った証明書発行を防止できます。Alibaba Cloud DNS は CAA レコードをサポートしています。

    CAA レコード形式

    CAA レコードの形式は、[flag] [tag] [value] です。[flag](1 バイトの符号なし整数)と、プロパティペア([tag]-[value]、ラベル - 値ペアとも呼ばれます)で構成されます。1 つのドメインの DNS 構成に複数の CAA レコードを追加できます。

    フィールド

    説明

    flag

    0 ~ 255 の符号なし整数です。CA がレコードをどのように処理すべきかを示します。ほとんどの場合、0 を設定します。値が 0 の場合、CA はタグを認識できない場合にそのレコードを無視する必要があります。

    tag

    サポートされている値は、issue、issuewild、iodef です。

    • issue:特定の CA に、ドメイン向けの任意の種類のドメイン名証明書の発行を許可します。

    • issuewild:特定の CA に、ドメイン配下のホスト名向けのワイルドカード証明書の発行を許可します。

    • iodef:CA がコンプライアンス違反の発行記録を指定されたメールアドレスに送信できるようにします。

    value

    認証局のドメイン名、または違反通知用のメールアドレスです。

    CAA レコードの追加

    ドメイン midengd.xyz に対して symantec.com のみに証明書発行を許可し、違反レポートを admin@midengd.xyz に送信するように設定すると仮定します。以下の手順で CAA レコードを構成します。

    1. Alibaba Cloud DNS – Public authoritative DNS にログインします。対象ドメインの 解決設定 をクリックします。

    2. 次の 2 つの DNS レコードを追加します。

      ホストレコード

      レコード値

      @

      0 issue "symantec.example.com"

      @

      0 iodef "mailto:admin@midengd.xyz"

    CAA レコードの確認

    dig ドメイン名 レコードタイプ コマンドを使用して CAA レコードをクエリします。以下の例にコマンドとその出力を示します。

    sh-3.2# dig midengd.xyz caa

; <<>> DiG 9.10.5rc1 <<>> midengd.xyz caa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26714
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;midengd.xyz. IN CAA

;; ANSWER SECTION:
midengd.xyz. 600 IN CAA 0 iodef "mailto:admin@midengd.xyz"
midengd.xyz. 600 IN CAA 0 issue "symantec.com"

;; Query time: 577 msec
;; SERVER: 30.26.X.X#53(30.26.X.X)
;; WHEN: Tue Dec 05 18:55:48 CST 2017
;; MSG SIZE rcvd: 114

    2017 年 4 月以降、すべての CA は SSL 証明書を発行する前に CAA レコードをチェックする必要があります。中国以外の主要な DNS プロバイダー(Amazon Route 53、Dyn、Cloudflare など)は CAA レコードをサポートしていますが、中国国内でのサポートは依然として限定的です。

    ネットワークセキュリティへの関心が高まるにつれ、CAA レコードは金融、電子政府、公共サービスなどの分野においてセキュリティベースライン要件となるでしょう。より多くの DNS プロバイダーが CAA レコードをサポートするようになり、広範な導入は時間の問題です。