お名前.comのDNSサーバが、ようやくDNS CAAに対応したようなので早速設定してみます。
DNS CAAとは
DNSにCAA(Certification Authority Authorization)レコードを記述し、第三者が勝手にSSL証明書を発行するのを防ぐ仕組みがDNS CAA。2017年9月8日以降、認証局(CA)が証明書を発行する際にCAAレコードを確認することが義務付けられました。ドメイン所有者に義務はありませんがセキュリティに関する設定なら可能な限りしておきたいところ。お名前.comのDNSサーバでも2018年6月6日から利用可能になりました。
DNSレコード設定にてCAAレコードの機能追加https://www.onamae.com/news/domain/180606_1.html
DNS CAAを設定してみる
お名前.com Naviにログインし、ドメイン設定 → ネームサーバーの設定 → DNS関連機能の設定 → DNSレコード設定を利用する と進んでCAAレコード設定欄に移動します。
CAAレコードの記述方法は色々あるようですが、まずは基本的な書き方であるissue Tagを使ってみます。TTLは長めの1日にしてみました。
DNS CAA設定を確認する
次に設定結果を確認したいところですが、CentOS6/7のdigはCAAに対応してないようです。
# dig caa www.riscascape.net ;; QUESTION SECTION: ;www.riscascape.net. IN CAA
次に思いついたのがSSL Server Testでのセキュリティ診断テスト。
早速実行してみると・・・、しっかり設定が反映されているようです。
ちなみにDNS CAAに対応してもSummaryのOverall Ratingの値は変化なしでした。