あなたのCAA記録を即座にチェック

高速かつ正確なCAAチェッカーで、不正なSSL/TLS証明書の発行を防ぎ、ドメインを保護します。

リアルタイムCAAチェッカー
有効なドメイン名を入力してください(http:// プレフィックスなし)。

CAAレコードとは?

CAA(Certification Authority Authorization)レコードは、どの認証局(CA)がドメインのSSL/TLS証明書の発行を許可されているかを示すDNSレコードの一種である。CAAリソースレコードは、ドメイン所有者が、関連するドメインに対して特定のCAがTLS/SSL証明書を発行することを許可するポリシーを確立するのに役立ちます。ドメイン所有者として、CAAレコードを使用して、ドメイン全体と特定のホスト名の両方のセキュリティ・ポリシーを確立し、維持することができます。特定のサブドメインに個別のCAAレコードを確立する場合を除き、これをポリシー・サブドメインの包括ポリシーとみなすことができる。

CAAレコードはどのように構成されているのか?

CAAの記録は、3つの重要な要素で構成されている:

ポリシーがクリティカルかどうかを定義する数値(0または128)。

迅速なインシデント対応

タグ

ポリシーのタイプ(issue、issuewild、またはiodef)を指定します。

価値

認証 CA または報告用の電子メール/URL。

CAAの記録が実際にどのようなものか、いくつか例を挙げてみよう:

CAAレコード構文その意味
example.com.IN CAA 0 issue "letsencrypt.org"example.com 用の SSL/TLS 証明書を発行できるのは Let's Encrypt だけです。
example.com.IN CAA 0 issuewild "digicert.com"これにより、DigiCertのみがexample.comのワイルドカード証明書を発行できる。
example.com.IN CAA 0 iodef "mailto:[email protected]これは、不正な証明書要求が検出された場合にアラートを送信するよう CA に指示するものである。

CAA記録の仕組み

  • 特定のホスト名のTLS/SSL証明書を注文する場合、CAはサブドメインのCAAレコードをDNSに参照する。 
  • CAが特定のホスト名のレコードを見つけた場合、DNSクエリは停止し、そのポリシーが証明書の注文に適用される。 
  • CAが特定のホスト名のレコードを見つけない場合、CAAレコードの検索は親ドメインで続行される。 
  • その後、CAがドメイン全体のレコードを見つけた場合、親ドメインのポリシーが特定のホスト名の証明書注文に適用される。
一歩を踏み出す

ある企業がSSL/TLS証明書を要求する。

二歩目

認証局はDNSにCAAレコードがないか確認する。

ステップ3

- レコードが存在する場合 、CAはそのレコードが認可されているかどうかを検証する。

- 記録がない場合は、リクエストを続行する。

ステップフォー

不正な場合、CA はリクエストを拒否するか、IODEF アラートを送信する。

なぜCAAチェッカーを使うのか?

CAA (Certification Authority Authorization)チェッカーは、SSL/TLS証明書の発行が許可されている認証局(CA)を管理・確認するのに役立ちます。 SSL/TLS証明書を管理・確認することができます。主な利点は以下の通りです:

  • リアルタイムのCAAレコード検索と検証

    DNSサーバーに即座に問い合わせ、正確な検証のために最新のCAAレコードを取得します。

  • 不正な証明書発行の防止

    ハッカーや未承認の CA による不正な SSL/TLS 証明書の発行を阻止し、正規の証明書のみが発行されるようにする。

  • セキュリティのベストプラクティスへのコンプライアンスの確保

    CAAの記録をCA/Browser Forumのベースライン要件と照合して検証し、規制コンプライアンスを維持する。

  • ドメイン・セキュリティの強化

    信頼できる CA のみが証明書を発行できるようにすることで、公開鍵基盤(PKI)を強化する。

  • ミスコンフィギュレーションの特定

    セキュリティの脆弱性につながる可能性のある CAA レコードの欠落や不正確さを検出する。

  • 問題の迅速なトラブルシューティング

    効率的な問題解決のために、タグの値とCA権限を詳細に把握します。

  • より良いSSL証明書管理

    CAA レコードの定期的な監視と更新を可能にし、SSL/TLS 証明書発行の管理を改善する。

  • 使いやすいインターフェイスですぐに結果が出る

    技術者にも非技術者にも対応できるよう設計されており、予備知識は必要ありません。

CAAチェッカーを定期的に使用することで、不正な証明書の使用を防止しながら、安全でコンプライアンスに準拠したドメイン環境を維持することができる。

CAAチェッカーの仕組み

PowerDMARC の認証局認証チェッカーは、CAA レコードを検証することによりドメインのセキュリティを強化するように設計された強力なツールです。この検証プロセスにより、認証された CA のみがお客様のドメインに証明書を発行できることを保証します。

ステップ1: PowerDMARCに無料登録する

PowerDMARCに登録するとにご登録いただくと、様々なメール認証やDNS管理ツールをご自由にお使いいただけます!

ステップ2:分析ツール > 検索ツール > CAAチェッカーに進む 

左側のメニューバーで「分析ツール」に移動し、「ルックアップ・ツール」タブをクリックします。ルックアップツールのリストからCAAチェッカーを選択します。 

ステップ3:ドメイン名の入力

CAAレコード・チェッカーのツールボックスに会社のドメイン名(例:company.com)を入力し、「検索」ボタンをクリックします。

CAAレコードチェッカー

ステップ 4: 認証済み CA のレビュー 

CA のリストを表示するために、ツールに魔法をかけましょう!認可された認証局を確認し、認可されていない認証局を簡単に検出します。このツールは、関連する問題や各認証局に対応するTTLも強調表示します。

ステップ5:あらゆる問題を解決する

CAAの記録に問題があれば見直し、迅速にトラブルシューティングを行う!

PowerDMARCの完全なDNS & Eメールセキュリティスイート

  • CAAチェッキングを超えて

    PowerDMARC は以下を提供します。 ホスト型DMARC, ホスト型SPF, ホスト型DKIMホスティングDMARC、ホスティングSPF、ホスティングDKIM、ホスティングMTA-STS、ホスティングTLS-RPT、ホスティングBIMIを利用することで、メール認証プロトコルを手動で実装する手間を省き、配信性や認証の問題に直面することがなくなります。

  • シームレスな統合

    当社のアプリケーションプログラマブルインターフェース(PowerDMARC API)は、電子メール認証戦略の包括的なコントロールを提供します。 

  • オールインワン・セキュリティ・プラットフォーム

    当社のアプリケーションプログラマブルインターフェース(PowerDMARC API)は、電子メール認証戦略の包括的なコントロールを提供します。

    • すべての機能に対する豊富なAPIエンドポイント 
    • 電子メール認証プロトコルの自動設定 
    • サードパーティ製アプリケーションとのスムーズで手間のかからない統合 
    • 現在のインフラを変更または更新する必要がない
ツアーに参加する

よくあるご質問

CAAレコードがない場合、どの認証局(CA)でもドメインのSSL/TLS証明書を発行できます。このため、不正な証明書が発行されるリスクが高まり、フィッシングや中間者攻撃などのセキュリティ上の脆弱性につながる可能性があります。

はい、CAAレコードに複数のCAを指定することができます。これにより、未認証のCAがあなたのドメインに証明書を発行することを制限しつつ、複数の信頼できるCAと連携することができます。

CAAレコードを定期的にチェックすることは、特にDNS設定を変更した後や、新しいCAをオンボー ドする際に推奨されるプラクティスです。定期的にチェックすることで、レコードが正しく設定され、セキュリティのベストプラクティスに準拠していることを確認できます。

CAA レコードが誤って設定されていると、SSL/TLS 証明書の発行に失敗したり、不正な証明書が発行されたりする可能性があります。PowerDMARC の CAA Checker を使用して、設定ミスを素早く特定し修正することで、ドメインの安全性を確保することができます。

PowerDMARC の CAA Checker は、ルートドメインとサブドメインの両方の CAA レコードを検証することができます。すべてのレベルでポリシーが正しく適用されていることを確認し、証明書発行を完全にコントロールすることができます。

 今すぐSSL/TLS証明書をセキュアに

15日間のトライアルデモを予約する