2017年12月14日

SSL証明書に使うDNS CAAレコードをRoute53に設定

Symantec傘下のThawte(認証局)が誤ってgoogle.comとwww.google.comのEV SSL証明書を発行し問題になり(17年8月Symantecはdigicertに証明書事業を売却)
この問題を回避するには、ドメインでSSL証明書を発行する認証局を設定して、設定してない所からは発行できないようにすれば良いと、以前からあった設定方法が注目されました

認証局を設定するというのがDNSにCAAレコードを登録するということ

CA (Certification Authority 認証局)
CAA (Certification Authority Authorization 認証局の許可)

現状:CAAを登録していない場合は、どこのCAでも利用できます。(暫定措置)
CAAを設定していると、設定したCA以外の証明書は発行できません

CA(認証局)には
Let's Encrypt "letsencrypt.org"
グローバルサイン "globalsign.com"
セコムトラストシステムズ "secomtrust.net"
サイバートラスト "cybertrust.ne.jp"
JPRS "jprs.jp"
などがあります

Certificate TransparencyでわかったというThawteによるgoogle.com証明書の不正発行???
http://blog.livedoor.jp/k_urushima/archives/1779810.html

CAAの設定例

Let's Encryptを登録する場合

example.com. IN CAA 0 issue "letsencrypt.org"


DNSのタイプはCAAを選択

issue
 認証局を記述 "letsencrypt.org"
 複数入れる場合は2行にする "letsencrypt.org"と"globalsign.com"を使う場合

example.com. IN CAA 0 issue "letsencrypt.org"
example.com. IN CAA 0 issue "globalsign.com"

issuewild
 ワイルドカード証明書を発行しない場合は ";" を入れる

example.com. IN CAA 0 issuewild ";"

iodef オプション
 問題があった場合の連絡先メールアドレス "mailto:sample@example.com"

example.com. IN CAA 0 iodef "mailto:sample@example.com"


CAA Record Helper
https://sslmate.com/caa/


Route53にCAA設定してみる

http://aws.amazon.com/jp/
よりログインしてRoute53を選択。該当ドメインを選び

ca171213.png

「Create Record Set」をクリック
Name: 何も入力しない
Type: CAAを選択
Value:

0 issue "secomtrust.net"
0 issuewild ";"

私の場合は上記(fujissl.jp)を利用しているのでsecomtrust.netと入力しました

最後に「Create」をクリックすれば反映されます


確認方法

dig CAA exsample.com

SSL Server Test
https://www.ssllabs.com/ssltest/
DNS CAAが該当項目

DNS CAA Tester
https://caatest.co.uk/

参考:

Route 53 が CAA レコードに対応しました!
https://dev.classmethod.jp/etc/caa-on-route53/

CAAレコードの審査についてのお知らせ
https://www.fujissl.jp/info/1116/

変化するDNSとサーバー証明書の関係~「ランチのおともにDNS」より
https://internet.watch.impress.co.jp/docs/event/1095814.html

関連する記事:1件


  • follow us in feedly

スポンサーリンク