投稿日: 投稿者: tacsan

MyDNS.jp に Let’s Encrypt 認証局の CAAレコードを登録する

Webサーバー サイトの管理
nginx Let’s Encrypt HTTPS化 SSL通信
MyDNS.jp に CAAレコードの登録
 
「Qualys SSL Labs」を使って【SSL脆弱性診断】を行うと、Server Key and Certificate #1の「DNS CAA」が赤文字で「No」になっている。
 
Server Key and Certificate #1の「DNS CAA」が赤文字で「No」になっている
 
以下、Server Key and Certificate #1の「DNS CAA」への対策と実施結果。
 
 

 

スポンサー リンク

 

 
 
 
 
 
1. 「Qualys SSL Labs」での【SSL脆弱性診断】結果
 
自分のサイトを「Qualys SSL Labs」使って、SSLの安全性をチェックをした結果。
変更後の、「Qualys SSL Labs」での【SSL脆弱性診断】結果
 
グレードは「A」だが、Server Key and Certificate #1の「DNS CAA」が赤文字で「No」になっている。
Server Key and Certificate #1の「DNS CAA」が赤文字で「No」になっている
 
 

 CA/ブラウザフォーラムによって義務付けられたCAA

2013年にRFC6844で指定された認証局承認(CAA)は、特定のドメイン名の証明書を発行できるCAを制限する新しいコントロールを使用して、PKIエコシステムの強度を向上させる提案です。CAAは4年以上にわたって提案された標準状態にありましたが、ごく最近まで明らかな出来事はほとんどなく、100または200のサイトのみがCAAを採用していました。しかし、CA /ブラウザフォーラムは最近、証明書発行の標準ベースライン要件の一部としてCAAサポートを義務付けることを決議したため、これは変わるでしょう。変更は2017年9月に有効になります。

 
 

 DNS CAAレコードとは

ドメインのSSL証明書に署名を許可する認証局CA:Certification Authority)を指定するDNSエントリです。CAAレコードで認証局を指定することによりSSL証明書の改ざんを防ぐことができます。

 
 
 
2. DNS CAAレコードの生成方法
 
CAA Record Helper を使ってDNS CAAレコードを生成して見る。
 
「1. Enter Your Domain Name」にドメイン名を入力し、「2. Choose an Initial Policy」では【Auto-Generate Policy】を選択する。
(この時点で、下部の「5. Publish Your CAA Policy」にはCAAレコードが生成されている。)
「1. Enter Your Domain Name」にドメイン名を入力し、「2. Choose an Initial Policy」では【Auto-Generate Policy】を選択する
 
「3. Select Authorized Certificate Authorities」に認証局である【Let's Encrypt】を入力する。
「3. Select Authorized Certificate Authorities」に認証局である【Let's Encrypt】を入力する
 
Type of certificate の、【Non-Wildcard】にチェックを入れる。(Let’s Encrypt は Wildcard に対応していない。)
 
 

 ワイルドカード証明書とは
「*.example.jp」のように、 コモンネームの一番左のラベルにアスタリスク(*)を指定したサーバー証明書です。
ワイルドカード証明書は「www.example.jp」「login.example.jp」「member.example.jp」のように、 アスタリスクと同一階層のサブドメインのみが異なるすべてのサーバーにインストールできます。
また、JPRSの提供するワイルドカード証明書なら、 「*.example.jp」の証明書を「example.jp」のようにアスタリスク(*)を除いたホスト名のサーバーでも利用できます。
そのため、1枚のワイルドカード証明書でこれらのサーバーすべてをHTTPS化でき、 コストや作業工数を削減することができます。

 
 
「4. Incident Reporting (Optional)」には、メールアドレス(公開しているアドレス)を入力する。
「4. Incident Reporting (Optional)」には、メールアドレスを入力する
 
「5. Publish Your CAA Policy」に、生成された「CAAレコード」が表示される。
「5. Publish Your CAA Policy」に、生成された「CAAレコード」が表示される
 
Generic」欄に表示された CAAレコード。
0 issue "letsencrypt.org"
0 issuewild ";"
0 iodef "mailto:公開メールアドレス"
 
(issue) 認証局:Let's Encrypt
(issuewild) ワイルドカード証明書を発行する認証局:なし
(iodef) エラーがあった際に通知する先::メールアドレス
 
 

 issue
 証明書を発行できる認証局のドメイン名を指定します。

 issuewild
 ワイルドカード証明書を発行できる認証局のドメイン名を指定します。上のように「issuewild ";"」としている場合は、どの認証局からもワイルドカード証明書を発行してくれるな!という意味になります。

 iodef
 認証局からの連絡先を指定します。おかしな証明書要求があった場合などの報告先として使われることがあります。iodef はオプションですので登録しなくても構いません。(実際あまり使われてないようです CAAレコードが登録されている google.com や digicert.com にも iodef は指定されていません)

 
 
 
3. MyDNS.jp への登録
 
MyDNS.jp にログインし、「Domain Info」に【CAA】を登録。
MyDNS.jp にログインし、「Domain Info」に【CAA】を登録
 
 
 
4. 「Qualys SSL Labs」での再チェック
 
Server Key and Certificate #1の「DNS CAA」が、緑色で「Yes」になった。
Server Key and Certificate #1の「DNS CAA」が、緑色で「Yes」になった
 
 
以上。
(2020.09.16)
 

 

スポンサー リンク

 

             

 

 

 

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください