ACM が CAA レコードに対応しました!

2017.09.14

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

現地時間 9/13、
AWS Certificate Manager (ACM) が CAA レコードに対応しました。

CAA (Certification Authority Authentication) レコードについては先日、Route53 が対応した際の記事を参考にしていただきたいのですが、改めてひとことでいうと、
このドメインに関する証明書(SSL, TLS)を発行できる認証局 (CA) を指定する
ためのレコードです。

Route 53 が CAA レコードに対応しました!

今回は ACM、つまり認証局 (CA) 側の対応になります。
Route53 をはじめとするDNSに登録された CAA レコードを、ACM は証明書を発行する際にチェックするようになったということです。

繰り返しになりますが、
CAA レコードは必ず設定しなければならないというものではありません。証明書発行がリクエストされたドメイン・サブドメインに CAA レコードが設定されていなければ、ACM はこれまで通りに証明書を発行してくれることでしょう。

CAAレコードの書式

前述したドキュメントにサンプルが書いてありますが、
ACM に対応するよう CAA レコードを設定する場合は、issueissuewildタグの値(Value)に下記の いずれか を記述します。

  • amazon.com
  • amazontrust.com
  • awstrust.com
  • amazonaws.com

また、CAAレコードは複数の認証局を書いても良いことになっていますので、
例えば ACM と Let's Encrypt の両方を指定したい場合は、下記のように並列に記述してください。

example1.jp.    IN  CAA 0 issue "amazon.com"
example1.jp.    IN  CAA 0 issue "letsencrypt.org"

ドキュメントによると、ACM は iodef タグを参照しない模様です。

ちなみに前回ご紹介したジェネレータですが、いま確認したところ既に ACM に対応していました。

ここのチェックボックスで、「Amazon」という CA を選択できるようになっています。
ACM に対する CAA レコードを生成したい場合は、こちらを利用してください。

最後に

CAA レコードは、所有しているドメイン・サブドメインを悪用されないための仕組みです。
それほど複雑な設定でもないので、ドメインを所有されている方は是非対応を検討してみてください。

今回は ACM の実際の挙動までは確認できておりませんが、それについてはいずれ試してみたいと思います。