DNS CAA レコードを設定してみた

ssl

dns

rfc

Let's Encryptのおかげで最近はウェブサイトが HTTPS 化されているところもだいぶ増えてきました。

証明書の安全性を担保するためにサーバに導入する SSL 証明書の発行元を制限することができる DNS Certification Authority Authorization (DNS CAA)^*1^*2 というものがあることが分かったので、設定を行ってみました。

DNS に証明書がの発行元を宣言するための CAA というレコードを追加するだけですが、この CAA については、最近の仕様のため BIND 9.9.6 未満の場合には代わりに TYPE257 を使う必要があります。加えて、内容もエンコードする必要があるので、そのような場合には「CAA Record Generator」のような専用のジェネレーターを使うと間違いもなくて便利です。

例えば、cles.jp の証明書を Let's Encrypt のみに制限するためのレコードは以下のようになります。

; BIND ≥9.9.6
cles.jp.	IN	CAA	0 issue "letsencrypt.org"
; BIND <9.9.6
cles.jp.	IN	TYPE257	\# 22 000569737375656C657473656E63727970742E6F7267

^*1: RFC 6844 - DNS Certification Authority Authorization (CAA) Resource Record

^*2: DNS CAA とは：SSL | DigiCert

by hsur at 17:58 [5年前][4年前][3年前][2年前][1年前][1年後][2年後][3年後][4年後][5年後] |

こんな記事もあります「DNS Certification Authority」

・ICANN がプライベートな TLD を .internal とすることに
・Yamaha ルータ＋ぷらら光メイトでぷららv6エクスプレス（DS-Lite編）
・Yamaha ルータ＋ぷらら光でぷららv6エクスプレス（MAP-E編）
・Windows 上で .pfx/.p12 の中身を確認するには
・FujiSSL の DNS 認証はちょっとクセがある？
・Cloudflare の Worker が Error 1034 になるときは
・Raspberry Pi を WPA Enterprise ( WPA2-EAP ) な無線 LAN に一撃で接続する
・Oracle が Oracle Cloud Infrastructureの認定試験を期間限定で無償提供
・Dokcer で Elasticsearch + Kibana + Logstash を立ててみた
・Docker で内部用 DNS サーバを立ててみた

トラックバックについて

Trackback URL:

お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]

このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/10710

Trackbacks

このエントリにトラックバックはありません

Comments

愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。

コメントはありません

Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

« Slack のロゴが新しくなった :: bat ファイルで YYYYMMDDHHMMSS を得るには »

サイト内検索

検索ワードランキング

へぇが多いエントリ

閲覧数が多いエントリ

1 . アーロンチェアのポスチャーフィットを修理(111992)
2 . 福岡銀がデマの投稿者への刑事告訴を検討中(110622)
3 . 年次の人間ドックへ(110253)
4 . 2023 年分の確定申告完了！（１つめ）(109797)
5 . 三菱鉛筆がラミーを買収(109697)

cles::blog

DNS CAA レコードを設定してみた