【JPRS SSL証明書】DNS CAAレコードを追加する

SSLに対応したサイトでは任意でCAAレコードを設定できます。

SSLサーバ証明書を第三者が勝手に発行することを防止する仕組みです。

認証局（CA）はSSLサーバ証明書を発行する際にDNSを確認し、ドメイン所有者がその認証局にSSLサーバ証明書の発行を許可しているかどうかをチェックします。

DNS CAA レコード設定について ー さくらのサポート情報　https://help.sakura.ad.jp/115000139062/

前回の記事で、Qualys SSL Labsにて当サイトを診断した際、CAAレコードが設定されていない旨の指摘を受けました。必須ではないもののせっかくの機会なので対応してみたいと思います。

キャプチャ画面は当サイトのネームサーバーであるVultrのものを利用します。

認証局ごとに設定が異なる

CAAレコードは認証局が証明書発行の際に確認するレコードなので、証明書の発行元を記載することになります。今回の記事では当サイトに合わせた内容になりますが、詳しい設定は参考サイト内のさくらのサポートに全て書いてあるので確認してください。
今回の記事の対象は、JPRSのSSL証明書の発行を受けている方です。当サイト、自慢にも何にもなりませんが個人運営にもかかわらず有料の証明書を持っています（DV認証）。さくらのSSLで取得しています。

当然JPRSに限らず、他社発行のものでも設定可能です。Let’s Encryptでも設定できます。

余談は置いておきまして、早速設定に入っていきます。

ネームサーバーに設定する

Vultrの場合、このような画面になります。サブドメイン含めて公表済みかつ名前解決すればわかることなのでモザイクはかけません。※サーバーのIPが変更になったので編集して非表示にしました。
※一部ネームサーバーではCAAレコードに対応していない可能性もあります。

JPRSの証明書の場合、次のテキストをルートドメインにCAAレコードとして設定します。
ルートドメインに対して指定することで、サブドメインを指定せずとも証明書発行を制限できます。
サブドメインによって証明書発行元が異なるなどといった場合は、サブドメインに対してレコードを設定してください。

0 issue "jprs.jp"

↓ゾーン設定画面です。

入力したら確定して設定を適用してください。
しばらくするとCAAレコードが解決できるようになるはずです。

Windowsのnslookupではunknown queryと表示されて解決できなかったので、スマホアプリから行いました。
スクリーンショットを掲載します。

他の認証局や、ワイルドカード証明書を使っている場合の設定方法は下記参考サイトをご覧ください。さくらのSSLで対応している認証局のコモンネームも下記サイトに記載があります。取り扱っていないものに関しては発行元に確認してください。

おわりに

果たしてどこまで設定の必要性があるのかわからないレコードですが、簡単な作業ですので念の為設定してみました。10分もあればできますので皆様も設定してみてはいかがでしょうか。

前回の記事では、Qualys SSL Labsにて指摘された点が2点あったと書きました。残りはsession resumption (caching)という項目なのですが、これは設定が結構難しい予感がします。次回の記事になるかいつになるかはわかりませんがいずれ対応したいです。

参考サイト

DNS CAA レコード設定について ー さくらのサポート情報　https://help.sakura.ad.jp/115000139062/