Defaults.Exposed › 設定 › CAA

GoDaddy で CAA レコードを設定する方法

GoDaddy で CAA レコードを追加し、自社ドメインの SSL 証明書を発行できる認証局を制御します。

これがビジネスにとって重要な理由

CAA レコードは、自社ドメインの証明書を発行してよい認証局（ブラウザの鍵マークの背後にある SSL/TLS 証明書を発行する会社）を指定するものです。ルールに従う認証局は、必ず最初にこのレコードを確認し、リストに載っていなければ発行を拒否します。

平たく言えば、CAA レコードがなければ、世界中に数百ある認証局のいずれかがだまされたりミスをしたりして、あなたのドメイン向けの正規の証明書を第三者に渡してしまう可能性があります。攻撃者はそれを使って、あなたのサイトを巧妙になりすますことができます。CAA レコードは「これらの認証局だけ、ほかは一切不可」と宣言することで、その入口を閉ざします。無料で、数分で済みます。

まず GoDaddy が DNS を運用しているか確認する

これが機能するのは、GoDaddy があなたのドメインの DNS に応答している場合だけです。GoDaddy はドメインを販売し、DNS のホスティングも行いますが、この 2 つは別物です。ここで追加するレコードが有効になるには、ドメインの ネームサーバー が GoDaddy を指している必要があります。サインインして自社ドメインを開き、ネームサーバーが GoDaddy 自身のものになっているか確認してください。別の場所を指している場合は、実際に DNS を運用しているプロバイダー側で CAA レコードを追加してください。

まず自社の認証局を把握する

何かを追加する前に、自社の証明書を発行している認証局を調べてください。さもないと、自分のプロバイダーを締め出してしまうおそれがあります。よくある値は次のとおりです。

• letsencrypt.org — Let’s Encrypt（無料・自動発行の証明書の多くで利用）
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon（AWS Certificate Manager）

不明な場合は、ホスティングを設定した担当者に尋ねるか、ブラウザで証明書を確認してください（鍵マークをクリックし、証明書の発行者を表示します）。

GoDaddy での手順

1. GoDaddy にサインインし、Domain Portfolio（または My Products）を開きます。
2. 自社ドメインを見つけ、その DNS 管理ページを開きます（DNS または Manage DNS を探します）。
3. レコード一覧の下で Add（または Add New Record）をクリックします。
4. Type（種類）を CAA に設定します。
5. Name（または Host）フィールドに次を入力します。 @ @ はドメインのルートを意味します。ここにドメイン名を入力しないでください。
6. Flags を次に設定します。 0
7. Tag を次に設定します。 issue
8. Value（値）フィールドに、認証局の識別子を入力します。たとえば次のとおりです。 letsencrypt.org
9. TTL は既定値のままにします（1 時間で問題ありません）。
10. Save（保存）をクリックします。

複数の認証局を許可する

ほとんどのドメインは、時間の経過とともに複数の認証局を使います。たとえば、今は無料の証明書、後で有料のもの、別サービス用にまた別のものといった具合です。複数を許可するには、認証局ごとに別々の CAA レコードを追加します。いずれも同じ @ 名、0 フラグ、issue タグを使い、変わるのは値だけです。

• 値が letsencrypt.org のレコードを 1 つ
• 値が digicert.com のレコードを 1 つ

この 2 つで「これら両方の認証局を許可し、ほかは不可」という意味になります。1 つのレコードにまとめてはいけません。

GoDaddy でよくある間違い

• 最大の間違いは、自分の認証局を締め出してしまうことです。 digicert.com だけを記載した CAA レコードを追加したのに、実際の証明書は Let’s Encrypt で更新されている場合、次回の更新が黙って失敗し、数週間後に鍵マークが壊れることがあります。保存する前に、実際に使っているすべての認証局を必ず含めてください。
• Name は @ であって、ドメインではありません。 Name フィールドに完全なドメイン名を入力すると、レコードが誤った場所に作られます。ルートには @ を使ってください。
• 通常のレコードでは Flags は 0 です。 もう一方の値 128 は厳格モードで、準拠していない認証局を完全に拒否させます。意図的なときだけ使ってください。通常の用途では 0 です。
• URL ではなく素のドメインを使います。 値は letsencrypt.org であり、https://letsencrypt.org や www. 付きにしてはいけません。
• 自分で引用符を付けないでください。 素の値を入力します。引用符の処理は GoDaddy が自動で行います。
• 反映には時間を見込みます。 DNS の変更は反映まで数分から数時間かかることがあります。既存の証明書はそのまま使えます。CAA は新規発行または更新のときだけ確認されます。

設定できたか確認する

保存して反映されたら、このサイトの無料チェックを実行してください。CAA レコードが設定されているか、どの認証局を許可したかを、分かりやすい言葉で教えてくれます。

完了しましたか？ ドメインを無料でチェック して、正しく反映されたか確認しましょう。34項目すべてにわたる総合評価も見られます。