CAAレコードの追加

A Certificate Authority Authorization (CAA) DNS record specifies which certificate authorities (CAs) are allowed to issue certificates for a domain. This record reduces the chance of unauthorized certificate issuance and promotes standardization across your organization.

追加のセキュリティのために、証明書透明性モニタリングも設定してください。

注意

CAAレコードに関する技術的な詳細については、入門ブログ記事 ↗を参照してください。

誰がCAAレコードを作成すべきか？

以下のすべてが真である場合、CloudflareでCAAレコードを作成する必要があります：

• 自分のカスタムオリジンサーバー証明書をアップロードした（Cloudflareによって提供されていない）。
• その証明書はCAによって発行された（自己署名ではない）。
• ドメインはフルセットアップである（CNAMEセットアップではない）。
• 新しいカスタムホスト名を追加する際に、顧客が既存のCAAレコードを持っている場合。この場合、顧客に既存のCAAレコードを削除するか、欠落しているCAAレコードを追加するように依頼してください。

Cloudflareによって追加されたCAAレコード

Cloudflare adds CAA records automatically in two situations:

• When you have Universal SSL or advanced certificates and add any CAA records to your zone.
• When you have Universal SSL enabled and enable AMP Real URL or SXG Signed Exchanges.

These records make sure Cloudflare can still issue Universal certificates on your behalf.

If Cloudflare has automatically added CAA records on your behalf, these records will not appear in the Cloudflare dashboard. However, if you run a command line query using dig, you can see any existing CAA records, including those added by Cloudflare (replacing example.com with your own domain on Cloudflare):

➜  ~ dig example.com caa +short
# CAA records added by DigiCert
0 issue "digicert.com; cansignhttpexchanges=yes"
0 issuewild "digicert.com; cansignhttpexchanges=yes"

# CAA records added by Sectigo
0 issue "sectigo.com"
0 issuewild "sectigo.com"

# CAA records added by Let's Encrypt
0 issue "letsencrypt.org"
0 issuewild "letsencrypt.org"

# CAA records added by Google Trust Services
0 issue "pki.goog; cansignhttpexchanges=yes"
0 issuewild "pki.goog; cansignhttpexchanges=yes"

CAAレコードの作成

ドメインに使用する予定の各証明書機関（CA）についてCAAレコードを作成します。

ダッシュボード

ダッシュボードでCAAレコードを追加するには、

1. Cloudflareダッシュボード ↗にログインし、アカウントとアプリケーションを選択します。
2. DNS > レコードに移動します。
3. レコードを追加を選択します。
4. タイプとしてCAAを選択します。
5. 名前にドメインを入力します。
6. レコードに関連付けられた動作を指定するタグを選択します。
7. CAドメイン名にCA名を入力します。
8. 保存を選択します。
9. ドメインに関連する各CAについて繰り返します。

API

APIを介してCAAレコードを作成するには、このPOSTエンドポイントを使用します。

すべてのレコードの作成が完了したら、DNSレコードパネルに表示されるレコードのリストでそれらを確認できます。