この記事では、CAA DNSレコードに関するよくある質問に回答します。
CAAとは?
Certificate Authority Authorization(CAA)レコードにより、ドメインオーナーは、発行を特定の認証局(CA)に限定することができます。CAAレコードは、特定の状況下でCAが証明書を発行するのを防止します。詳細については、RFC 6844を参照してください。
CloudflareはCAAレコードをどのように評価しますか?
CAAレコードはCloudflareではなく、CAが評価します。
CAAレコードがUniversal SSLの発行を除外するのに、なぜUniversal SSLを無効にしなければならないのですか?
Universal SSL証明書はお客様の間で共有されるため、CAAレコードが別のお客様のUniversal SSLの発行を妨げる場合があります。 したがって、Cloudflareは、別のお客様のCAAレコードに影響を及ぼさないようにするため、ユーザーのドメインのUniversal SSLを無効にする必要があります。
CloudflareのUniversal SSLを必要としない場合は、Cloudflare SSL/TLSアプリの「エッジ証明書(Edge Certificates)」タブで「Universal SSLを無効にする(Disable Universal SSL)」を選択します。
Universal SSLを有効にしておくのにどのレコードが追加されますか?
Cloudflareの無料のUniversal SSL証明書を引き続き使用する場合、次のDNSレコードが自動的に設定されます:
example.com. IN CAA 0 issue "comodoca.com" example.com. IN CAA 0 issue "digicert.com" example.com. IN CAA 0 issue "letsencrypt.org" example.com. IN CAA 0 issuewild "comodoca.com" example.com. IN CAA 0 issuewild "digicert.com" example.com. IN CAA 0 issuewild "letsencrypt.org"
単独でissuewild を使用すると、ワイルドカードの発行のみを許可します。したがって、「タグ」ドロップダウンで「ワイルドカードと特定のホスト名を許可する(Allow wildcards and specific hostnames)」 オプションを指定しない限り、Cloudflareは、ルートドメインを証明書に追加できません:
Universal SSLが無効になっている場合はどうなりますか?
ドメイン名はUniversal SSL証明書からただちに削除され、カスタムSSL証明書をアップロードする(BusinessプランまたはEnterpriseプランが必要)場合を除き、SSLエラーが表示されることになります。
どのようにUniversal SSLを再度有効にできますか?
Cloudflareサポートにサポートチケットを提出してください。
CAAレコードを設定することによる危険性は何ですか?
大規模な組織の一員である場合または複数の当事者がSSL証明書を取得する作業に関与している場合、組織に適用されるすべてのCAが発行できるようにCAAレコードを含めます。 そうしないと、組織の他の部門に対するSSLの発行が誤ってブロックされる可能性があります。