SSL/TLS証明書を申請すると、多くのドメイン所有者は申請が拒否されることに驚きます。DNSが正しいように見えても、証明機関(CA)が信頼できるように見えてもです。
これらの多くの場合、問題はCAAレコードが原因です。
この記事ではCAAレコードとは何か、なぜ存在するのか、そしてSSL証明書の発行にどのように直接影響するかを、わかりやすく説明しています。
すべてが正しく見えるのにSSL証明書が発行されない理由
ドメイン所有者からよく聞く質問は以下の通りです:
-
"私のSSL申請は何度も失敗しています、何が問題ですか?"
-
"CAはDNSが発行を妨げていると言いますが、何も変更していません。"
-
"CAAレコードは必須ですか、それとも任意ですか?"
まず理解すべき重要なポイントは次のとおりです:
あなたのドメインに、あなたが使用しているCAを認可しないCAAレコードがある場合、SSL証明書は発行されません。
この動作は任意ではありません。業界ルールによって強制されています。
CAAレコードとは何か?
CAA(Certification Authority Authorization)レコードはDNSレコードで、どの証明機関があなたのドメインのSSL/TLS証明書を発行できるかを指定します。
簡単に言うと:CAAレコードはSSL証明書発行のホワイトリストのようなものです。
CAAレコードに明示的に記載されているCAだけが、あなたのドメインの証明書を発行できます。
CAAレコードを設定しなかった場合はどうなる?
CAAレコードが設定されていないことは必ずしもサイトの安全性に問題を生じさせるわけではありません。
しかし、CAAレコードがない場合:
-
どの信頼されたCAもあなたのドメインの証明書を発行できる
-
これは誤発行や無許可証明書のリスクを増大させます
-
誰があなたの代わりに証明書を発行できるかの制御力が低くなります。
これらのリスクのため、証明機関は現在証明書発行前にCAAレコードを必ず確認することが義務付けられています。
ここから多くの混乱が生まれます。
最も一般的な失敗シナリオ
-
CAAレコードが存在するが現在のCAが含まれていない
-
issueタグはあるが、ワイルドカード証明書用のissuewildが欠落している -
サブドメインが親ドメインの制限的なCAAレコードを継承している
-
ドメイン所有者が証明書発行者を切り替えたが、CAAを更新し忘れた
その結果、CAは技術的に証明書の発行を禁じられているのです。
主な3種類のCAAタグ
issue
issuewild
CAに対しワイルドカード証明書(例:.example.com)の発行を許可します。
iodef
無許可証明書が発行された場合に違反報告を送る場所を指定します(任意)。
CAAレコードはいつ使うべきか、いつ任意か?
強く推奨される場合
-
ビジネスや企業のウェブサイト
-
Eコマース、決済、ログインシステム
-
特定のCAに依存しているドメイン
任意でも可
-
テストまたはステージング環境
-
一時的または実験的プロジェクト
-
証明書の管理が重要でないサイト
重要なのはCAAが「必須」かどうかではなく、その結果を理解しているかどうかです。
CAAレコードを安全に設定する方法(SSLを壊さずに)
CAAレコードを追加または変更する前に、以下を確認してください:
-
現在どのCAが証明書を発行しているか
-
ワイルドカード証明書を使用しているかどうか
-
将来的にCAを変更する可能性があるかどうか
設定ミスのあるCAAレコードはただちにSSL証明書の発行をブロックします。
CAAレコードがそもそも存在する理由
CAAレコードは、証明書発行を次のようにするために導入されました:
-
より透明に
-
ドメイン所有者がより制御できるように
-
誤発行や悪意のある発行を減少させるため
CAAレコードはセキュリティを強化するために設計されており、SSL管理を複雑にするものではありません。
CAAレコードはドメイン所有者に対し、誰がSSL証明書を発行できるかの制御権を与えます。
正しく設定すれば、セキュリティが向上します。誤設定すると、SSL発行失敗の原因となります。
CAAレコードを理解することで、混乱や遅延、不必要なサポート依頼を避けられます。
DNSとSSLを正しく管理するには、技術的な明確さとポリシーの遵守が必要です。
ICANN認定レジストラとして、Nicenicは世界標準に基づき、ドメイン所有者がDNS、セキュリティ、証明書関連の設定を自信を持って管理できるよう支援します。
Nicenicは世界中のブランド、開発者、起業家、企業の信頼できるパートナーです。
