Defaults.Exposed › 設定 › CAA

Namecheap で CAA レコードを設定する方法

Namecheap で CAA レコードを追加し、自社ドメインの SSL 証明書を発行できる認証局を制御します。

これがビジネスにとって重要な理由

CAA レコードは、自社ドメインの証明書を発行してよい認証局（ブラウザの鍵マークの背後にある SSL/TLS 証明書を発行する会社）を指定するものです。ルールに従う認証局は、必ず最初にこのレコードを確認し、リストに載っていなければ発行を拒否します。

平たく言えば、CAA レコードがなければ、世界中に数百ある認証局のいずれかがだまされたりミスをしたりして、あなたのドメイン向けの正規の証明書を第三者に渡してしまう可能性があります。攻撃者はそれを使って、あなたのサイトを巧妙になりすますことができます。CAA レコードは「これらの認証局だけ、ほかは一切不可」と宣言することで、その入口を閉ざします。無料で、数分で済みます。

まず Namecheap が DNS を運用しているか確認する

これが機能するのは、Namecheap があなたのドメインの DNS に応答している場合だけです。以下のレコードは Advanced DNS に入りますが、これが有効になるのは、ドメインが Namecheap BasicDNS（または PremiumDNS）を使っている場合のみです。サインインして Domain List を開き、自社ドメインの Manage をクリックし、ネームサーバーが Namecheap に設定されているか確認してください。ネームサーバーが別の場所を指している場合は、実際に DNS を運用しているプロバイダー側で CAA レコードを追加してください。

まず自社の認証局を把握する

何かを追加する前に、自社の証明書を発行している認証局を調べてください。さもないと、自分のプロバイダーを締め出してしまうおそれがあります。よくある値は次のとおりです。

• letsencrypt.org — Let’s Encrypt（無料・自動発行の証明書の多くで利用）
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon（AWS Certificate Manager）

不明な場合は、ホスティングを設定した担当者に尋ねるか、ブラウザで証明書を確認してください（鍵マークをクリックし、証明書の発行者を表示します）。

Namecheap での手順

1. Namecheap にサインインし、Domain List を開きます。
2. 自社ドメインの横の Manage をクリックします。
3. Advanced DNS タブを開きます。
4. Host Records の下で Add New Record をクリックします。
5. レコードの Type（種類）を CAA Record に設定します。
6. Host フィールドに次を入力します。 @ @ はドメインのルートを意味します。ここにドメイン名を入力しないでください。
7. Flag フィールドに次を入力します。 0
8. Tag フィールドで次を選択します。 issue
9. Value（CA ドメイン）フィールドに、認証局の識別子を入力します。たとえば次のとおりです。 letsencrypt.org
10. TTL は Automatic のままにします。
11. 緑のチェックをクリックして保存し、確認が表示されたら Save All Changes をクリックします。

複数の認証局を許可する

ほとんどのドメインは、時間の経過とともに複数の認証局を使います。たとえば、今は無料の証明書、後で有料のもの、別サービス用にまた別のものといった具合です。複数を許可するには、認証局ごとに別々の CAA レコードを追加します。いずれも同じ @ ホスト、0 フラグ、issue タグを使い、変わるのは値だけです。

• 値が letsencrypt.org のレコードを 1 つ
• 値が digicert.com のレコードを 1 つ

この 2 つで「これら両方の認証局を許可し、ほかは不可」という意味になります。1 つのレコードにまとめてはいけません。

Namecheap でよくある間違い

• 最大の間違いは、自分の認証局を締め出してしまうことです。 digicert.com だけを記載した CAA レコードを追加したのに、実際の証明書は Let’s Encrypt で更新されている場合、次回の更新が黙って失敗し、数週間後に鍵マークが壊れることがあります。保存する前に、実際に使っているすべての認証局を必ず含めてください。
• Host は @ であって、ドメインではありません。 Host フィールドに完全なドメイン名を入力すると、レコードが誤った場所に作られます。ルートには @ を使ってください。
• 通常のレコードでは Flag は 0 です。 もう一方の値 128 は厳格モードで、準拠していない認証局を完全に拒否させます。意図的なときだけ使ってください。通常の用途では 0 です。
• URL ではなく素のドメインを使います。 値は letsencrypt.org であり、https://letsencrypt.org や www. 付きにしてはいけません。
• TXT ではなく CAA タイプを選びます。 Namecheap には専用の CAA Record タイプがあります。TXT レコードに CAA を手書きしようとせず、こちらを使ってください。
• 反映には時間を見込みます。 DNS の変更は反映まで数分から数時間かかることがあります。既存の証明書はそのまま使えます。CAA は新規発行または更新のときだけ確認されます。

設定できたか確認する

保存して反映されたら、このサイトの無料チェックを実行してください。CAA レコードが設定されているか、どの認証局を許可したかを、分かりやすい言葉で教えてくれます。

完了しましたか？ ドメインを無料でチェック して、正しく反映されたか確認しましょう。34項目すべてにわたる総合評価も見られます。