DNS CAA(Certificate Authority Authorization)を設定（Let's Encrypt）

 SSL Server TestをやってみてDNS CAAの項目をクリアしようと調査したときの覚書。

１．DNS CAAとは

SSLサーバー証明書の発行を許可する仕組み。

Let's Encryptなどの認証局がサーバー証明書を発行する際にDNSを確認し、ドメイン所有者がその認証局に証明書発行を許可するかチェックする。

現在は任意設定のためDNSにCAAレコードがなくても発行可能。

参考サイト

• DNS CAA レコード設定について – さくらのサポート情報
• SSL/TLSサーバ証明書、コードサイニング証明書 | 国内最安値DigiCert（デジサート）正規代理店

２．Value Domainで設定

DNS設定を追加。
ワイルドカード証明書は発行しない。

caa @ 0 issue "letsencrypt.org"
caa @ 0 issuewild ";"
caa @ 0 iodef "hoge@test.co.jp"

CAAを設定する特典はないので、他の認証局が誤発行するのを防ぐ用途。

ただSSL Testで注意されなくなるので気持ちがいい。

• SSL Server Test (Powered by Qualys SSL Labs)

【関連記事】

• NginxのSSL/TLS設定を見直す（2019年版）