トップ » はるかのひとりごと » セキュリティ » 常時HTTPSサイト必須🔐さくらのDNSを使いCAAを設定しよう
こんにちは。
はるかです。

専門用語の多いタイトルで申し訳ないです。
ただ、サイト全体をSSL化している場合、セキュリティをさらに向上させることができますので、是非ともやってみてください。

私のサイトなので、当然ですが誰にもわかるように説明をしたいと思います。


DNSってなに?

DNSはドメインネームシステムの略です。
私のサイトの www.harukas.org これをドメインと言います。
DNSはドメイン名をIPアドレスに変換する機能を保有しています。

また、それ以外にサブドメインに名前を割り当てたり、固有のテキスト情報をを入れることができます。
(絶対やらないでくださいね:例えばtxtレコードに「私は由美のことが世界で一番好きです」とか入れて、強制的に全世界に配信することができ、見るのは専門知識が必要ですw)

通信の世界は、実は複雑でとっても難しかったります。
AというサーバからBというクライアントにデータを渡すにはIPアドレスが必要になります。
しかし、実はそれ間違っています。
え?と思うかもしれませんが、IPアドレスはネットワーク層という7つの層のひとつなのです。
もっと簡単にいうと、LANケーブルが抜けてWiFiも無い状態でAからBへデータが送れますか?
無理ですよね?
ということで、LANケーブルは物理層という7つの中で一番下なのです。
IPは3層(ソケットなどに通信するなら4層以上)なので、その下の階層すべてが必要になるのが通信のしくみです。
私たちは自分たちの知っていることや、必要な事だけで会話します。
なので「IPアドレスがわかればデータが渡せる」というような誤解が生まれます。

さて、話を戻します。
DNSは、ドメインからIPアドレスに変換する機能を持ったシステムです。
多数のアクセスがあり冗長性も必要なので、主にサーバに構築されます。
なのでドメインネームサーバーと言ったりします。

では、なぜIPに変換しなければならないかです。
これは「プロトコル」という「ルール」がそうなっているからです。
さらに、HTTP(S)というプロトコルでは、先ほどの説明の通りWebサーバからブラウザがデータを取りに行くには、IPアドレスが必要になります。

なので、ドメインからIPに変換するサーバはとても重要なのですね。
このサーバが落ちるとWebサーバが生存していても、サイトを見ることができないのです。

CAAとは

なんと、そのDNS様の中にSSLの証明書を発行した会社名(ドメイン名)を入れることができるのです。

例えば、私が使っているDigiCertの証明書であれば、
issue “digicert.com”
と入れることができるのです。

これだけでは、何が嬉しいのかわかりませんよね。
実は、数年前大問題が発生しました。
なんと大手の Symantec が google.com の SSL証明書を無断で発行してしまったのです。
しかも、それが出回ったのがクラッカー(悪用する悪い人たち)なのです。
これで、Googleは大激怒しました。当然ですよね。

Googleは独自に証明書を発行するCA認証機関を買収しています。
なので、自分で発行できるのですね。
そこで、CAAに
issue “google.com”
といれて置けば、Googleの名前をかたったHTTPSの証明書を発行するなんて不可能になります。

本来ルート証明や、サイトが本物であるというのを保証するのはSymantecなどの認証局です。
その認証局が不正な証明書を流通させてしまう世の中なので、恐いですね。
CAAは、そういった不正証明書の発行問題を未然に防ぐことのできる仕掛けです。

これでDNS認証が遅くなるなどの弊害は特にないので、設定できる方は是非ともやってみてください。

余談ですが、Symantecでissueを指定しておいて、let’s encryptの証明書は多分発行できなくなります。
そういう仕組みですので、もし他社の証明書に切り替えたい場合は、まずCAAの設定を解除するなどの施策が必要になります。
そして、発行したいCAのドメインをCAAに設定する事により当該CAの証明書の発行が許可されます。

さくらでCAAの設定をしてみよう

本件は、さくらインターネットのサービスを利用している方向けの情報となります。
しかしながら、独自でDNSを立てていたり、他のプロバイダでも参考になると思います。
なお、この設定はHTTPSを導入しているサイトでないと意味が無いので注意してください。

管理パネルを開く

管理画面にログインして、ドメイン設定画面を開きます。
管理するドメインの「ゾーン編集」を選択します。
※ゾーマではありません。

ドメイン管理画面
ドメイン管理画面

ゾーンの変更を行う

ゾーン編集になったら、「変更」をクリックします。
※画面は既にCAAの設定がされているのですが、気にしないでください。

ゾーン表示画面
ゾーン表示画面

CAAの設定を行う

番号通りの手順で実施します。
値のところは、各自が使っている証明書を発行している会社のドメインにします。

RapidSSL(Symantec)の証明書は2017年10月末までのインフラで発行されたものは、信頼されませんので
2017年11月より発行しているdigicert.comを指定する事になります。

digicert.comを指定していれば、
・DigiCert
・Symantec
・Thawte
・GeoTrust
・RapidSSL
を同時に指定しているのと同義です。

これらの証明書を使用している方は、CAAに digicert.com を今から指定しておけば移行も楽になります。
(上述の証明書すべての発行権限をdigicert.comは持っている)

lets encrypt を使っている方は、間違って digicert.com を設定しないで下さいね。
lets encrypt を使っている場合は、letsencrypt.orgを指定します。
さくらの説明書をよく見ておいて下さい。

CAA設定画面
CAA設定画面

設定ができたら、SSL TEST で試験をしてみましょう。
https://www.ssllabs.com/ssltest/

DNS CAAの項目が「YES」になっている事を確認してください。

SSLTESTの結果
SSLTESTの結果

SSLTESTのフォーラムの情報では、2017年春頃DNS CAAを利用しているWebサイトは、何十億もあるWebサイトで「たった200サイト程度」だったとの事です。

そんな中で実装できるなんて、なんかかっこいいですよね。
SSLの人気コンテンツを持っている私のサイトは、とかくSSLTESTにかけられる事が多いです。
なので、そういうステータス向上にも役立ちますね。
まあ一番の目的は、認証局のミスを防ぐという事にかわりないですがね(笑)

まとめ

・CAAレコードの設定は、認証局の誤(不正)発行対策になる
・DNSレベルでの設定なのでサイトの速度に影響は無い
・設定は簡単なので設定しておくのがよい


以上でした。
ではまたね~
この記事は 2020年11月07日21時37分 に更新

コメント一覧

コメントする

Gravatarに登録してログインすると自分専用のアバターを表示できます。

コメントを残す





鈴木はるかのプロフィール画像
(Haruka Suzuki)
仕事:金融システムのSE
好きな物:スイーツ、絶景
趣味:お菓子/アニメ/多趣味

人気の高い記事

  1. 食戟のソーマゆきひら流進化形のり弁を再現
  2. 葬送のフリーレン 馬鹿みたいにでかいハンバーグを再現
  3. ゆきひら流シャリアピンステーキ丼
  4. 食戟のソーマゆきひら流 鶏卵の天ぷら丼を再現
  5. 食戟のソーマ5話のさわらおにぎり茶漬け
  6. ゆきひら流タラのお柿揚げ
  7. アニ菓子とは
  8. 時限式・生意気小僧風 原始肉(マンガ肉) ゆきひら・真を再現
  9. 食戟のソーマ16話のりんごのリゾットを再現
  10. 家電はなぜ壊れるのか?専門家が回答してみた
  11. 食戟のソーマ 胡椒餅(フージャオピン)を再現
  12. ゆきひら流ビーフシチュー秋の選抜スペシャルを再現
  13. 食戟のソーマ13話ゆきひら流スフレオムレツ
  14. 食戟のソーマ 熊肉のメンチカツを再現
  15. 食戟のソーマ ゆきひら流焦がし蕎麦の再現
  16. うずらの詰め物リゾットと卵 生意気小僧風 を再現
  17. 食戟のソーマ 時限式麻婆カレー麺の再現
  18. 北海道講座印のスペシャル豪雪うどんを再現
  19. すみれ印の唐揚げロールを再現してみた
  20. はるかのミルクキャラメル
  21. 食戟のソーマ さつま地鶏の手羽先餃子を再現
  22. ハウルのベーコンエッグを再現
  23. 食戟のソーマ 鹿もも肉の炭火焼き栗のソースを再現
  24. くまみこ第8話で登場した「水かけごはん」
    くまみこ8話の水かけごはんを再現
  25. 食戟のソーマ あんきもなかを再現
  26. 食戟のソーマ チーズフォンデュロースカツ定食を再現
  27. 食戟のソーマ第4話の鯖バーグ
  28. Airのどろり濃厚ピーチ味を再現
  29. ゆきひら謹製カレーリゾットオムライス
  30. NVIDIAの環境で動画を再生すると画面が真っ黒になる

月別の過去記事を見る

最近投稿されたコメント

  1. はるか (2024年10月08日)
    さばねこさん、こんにちは。解釈で感動したと思ってくれてありがとうございます。私はBD購入で最初に聞いたときから、ほむらとまどかの境界だと思っ…
  2. さばねこ (2024年09月15日)
    ♪「届かないほど 近くて遠い」>円環の理になってしまった、まどかとの距離・・・>のようにも読めますが、それだと今までの流れを壊す…
  3. Y (2024年08月18日)
    美味しそうです!食べてみたい!
  4. はるか (2024年08月15日)
    アルギン酸ナトリウムは、日本医薬品添加剤協会の実験などで各種検査をされていますが、有害性の報告はありません。よって私のレシピにこだわる事無く…
  5. Cocoa (2024年08月15日)
    度々すみませんあとアルギン酸ナトリウムは2グラム入れて滴下しても丸い形状にならず薄い膜みたいなものになってしまうのですが2グラム以上入れても…
  6. はるか (2024年08月14日)
    cocoaさんこんにちは。水滴の表面が固まるのは、化学反応なので溶液の濃度に依存します。のり溶液側に反応を阻害するミネラル類が多い場合、反応…
  7. cocoa (2024年08月14日)
    食感もゼリーみたいな食感で、いくらのようなプチンと言う食感は無いのですがナトリウムの入れすぎとかですかね策があれば教えていただきたいです
  8. はるか (2024年08月12日)
    Cocooaさんこんにちは。アルギニン酸ナトリウムは別のもの(どこで買ったか不明)ですが、乳酸カルシウムはリッチパウダーのものです。
  9. Cocoa (2024年08月11日)
    はるかさんこんにちはアルギン酸ナトリウム、乳酸カルシウムはリッチパウダーのやつですか?
  10. はるか (2023年12月08日)
    羽田野さんご指摘、感謝です。言い訳ですが、冷たい空気も東進しているのでそれを表現していました。おっしゃるとおり、誤解を生む可能性がありますの…