Defaults.Exposed › 設定 › CAA

Cloudflare で CAA レコードを設定する方法

Cloudflare で CAA レコードを追加し、自社ドメインの SSL 証明書を発行できる認証局を制御します。

これがビジネスにとって重要な理由

CAA レコードは、自社ドメインの証明書を発行してよい認証局（ブラウザの鍵マークの背後にある SSL/TLS 証明書を発行する会社）を指定するものです。ルールに従う認証局は、必ず最初にこのレコードを確認し、リストに載っていなければ発行を拒否します。

平たく言えば、CAA レコードがなければ、世界中に数百ある認証局のいずれかがだまされたりミスをしたりして、あなたのドメイン向けの正規の証明書を第三者に渡してしまう可能性があります。攻撃者はそれを使って、あなたのサイトを巧妙になりすますことができます。CAA レコードは「これらの認証局だけ、ほかは一切不可」と宣言することで、その入口を閉ざします。無料で、数分で済みます。

まず Cloudflare が DNS を運用しているか確認する

これが機能するのは、Cloudflare があなたのドメインの DNS に応答している場合だけです。Cloudflare があなたの DNS ホストであり、その DNS が有効になるのは、ドメインの ネームサーバー がダッシュボードに表示される Cloudflare のネームサーバーを指している場合のみです。Cloudflare で自社ドメインを開き、Overview（概要）ページで Cloudflare が有効になっていることを確認してください。ネームサーバーが別の場所を指している場合は、実際に DNS を運用しているプロバイダー側で CAA レコードを追加してください。

まず自社の認証局を把握する

何かを追加する前に、自社の証明書を発行している認証局を調べてください。さもないと、自分のプロバイダーを締め出してしまうおそれがあります。よくある値は次のとおりです。

• letsencrypt.org — Let’s Encrypt（無料・自動発行の証明書の多くで利用）
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon（AWS Certificate Manager）

Cloudflare 特有の注意点：Cloudflare 独自の SSL（オレンジ色のクラウドでプロキシする構成）を使っている場合、Cloudflare は複数の認証局を通じてあなたに代わって証明書を発行します。そのため、追加する CAA レコードがそれらの認証局も許可していることを確認するか、CAA の管理を Cloudflare に任せてください。不明な場合は、ホスティングを設定した担当者に尋ねるか、ブラウザで証明書を確認してください（鍵マークをクリックし、証明書の発行者を表示します）。

Cloudflare での手順

1. Cloudflare にサインインし、自社ドメインを選択します。
2. 左側のメニューで DNS 設定に移動します（DNS / Records を探します）。
3. Add record（レコードを追加）をクリックします。
4. Type（種類）を CAA に設定します。
5. Name（名前）フィールドに次を入力します。 @ @ はドメインのルートを意味します。Cloudflare が自動でドメインを付加するので、後ろにドメイン名を入力しないでください。
6. Cloudflare は CAA フィールドを分かりやすいメニューで表示します。次のように設定します。
   • Flags: 0
   • Tag: Only allow specific hostnames（特定のホスト名のみ許可）を選択します（これが issue タグです）
   • CA domain name（値）: letsencrypt.org
7. TTL は Auto のままにします。
8. Save（保存）をクリックします。

複数の認証局を許可する

ほとんどのドメインは、時間の経過とともに複数の認証局を使います。たとえば、今は無料の証明書、後で有料のもの、別サービス用にまた別のものといった具合です。複数を許可するには、認証局ごとに別々の CAA レコードを追加します。いずれも同じ @ 名、0 フラグ、issue タグを使い、変わるのは CA ドメインの値だけです。

• 値が letsencrypt.org のレコードを 1 つ
• 値が digicert.com のレコードを 1 つ

この 2 つで「これら両方の認証局を許可し、ほかは不可」という意味になります。1 つのレコードにまとめてはいけません。

Cloudflare でよくある間違い

• 最大の間違いは、自分の認証局を締め出してしまうことです。 digicert.com だけを記載した CAA レコードを追加したのに、実際の証明書は Let’s Encrypt で更新されている場合、次回の更新が黙って失敗し、数週間後に鍵マークが壊れることがあります。保存する前に、実際に使っているすべての認証局を必ず含めてください。
• Cloudflare 独自の SSL に注意。 トラフィックが Cloudflare を通る（オレンジ色のクラウド）構成では、Cloudflare がエッジ証明書を取得できる必要があります。Cloudflare が使う認証局を除外する CAA レコードを追加すると、これが壊れることがあります。迷ったら、自社の認証局に加えて Let’s Encrypt と Google Trust Services（pki.goog）を許可するか、CAA を Cloudflare に任せてください。
• Name は @ であって、ドメインではありません。 ルートには @ を使います。Cloudflare がドメインを自動で付加します。
• タグの表記が異なります。 Cloudflare はメニュー上で issue タグを Only allow specific hostnames と表示します。通常の用途ではこれが正しい選択です。
• 通常のレコードでは Flags は 0 です。 もう一方の値 128 は厳格モードで、意図的なときだけ使ってください。
• URL ではなく素のドメインを使います。 値は letsencrypt.org であり、https://letsencrypt.org や www. 付きにしてはいけません。
• CAA レコードにプロキシはありません。 CAA は純粋な DNS レコードです。ここでオレンジ/グレーのクラウド切り替えを気にする必要はありません。
• 反映には時間を見込みます。 DNS の変更は反映まで数分から数時間かかることがあります。既存の証明書はそのまま使えます。CAA は新規発行または更新のときだけ確認されます。

設定できたか確認する

保存して反映されたら、このサイトの無料チェックを実行してください。CAA レコードが設定されているか、どの認証局を許可したかを、分かりやすい言葉で教えてくれます。

完了しましたか？ ドメインを無料でチェック して、正しく反映されたか確認しましょう。34項目すべてにわたる総合評価も見られます。