BLOGTIMES
2019/01/18

DNS CAA レコードを設定してみた

  ssl  dns 
このエントリーをはてなブックマークに追加

Let's Encryptのおかげで最近はウェブサイトが HTTPS 化されているところもだいぶ増えてきました。

証明書の安全性を担保するためにサーバに導入する SSL 証明書の発行元を制限することができる DNS Certification Authority Authorization (DNS CAA)*1*2 というものがあることが分かったので、設定を行ってみました。

DNS に証明書がの発行元を宣言するための CAA というレコードを追加するだけですが、この CAA については、最近の仕様のため BIND 9.9.6 未満の場合には代わりに TYPE257 を使う必要があります。加えて、内容もエンコードする必要があるので、そのような場合には「CAA Record Generator」のような専用のジェネレーターを使うと間違いもなくて便利です。

例えば、cles.jp の証明書を Let's Encrypt のみに制限するためのレコードは以下のようになります。

; BIND ≥9.9.6 cles.jp. IN CAA 0 issue "letsencrypt.org" ; BIND <9.9.6 cles.jp. IN TYPE257 \# 22 000569737375656C657473656E63727970742E6F7267

トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/10710
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン