DNS Certification Authority Authorization

DNS Certification Authority Authorization（CAA）とは、ドメイン名の所有者が認証局に対して、自分のドメイン名の公開鍵証明書の発行を許可するかどうかを指定できるようにするインターネットセキュリティポリシーのしくみである。新たに「CAA」というDomain Name System（DNS）レコードを使用することによって実現している。

概要ステータス, 初版 ...

DNS Certification Authority Authorization
ステータス	Proposed Standard
初版	2010年10月18日 (2010-10-18)
最新版	RFC 8659 November 2019
組織	IETF
著者	Phillip Hallam-Baker（英語版） Rob Stradling
略称	CAA

この記事は英語版の対応するページを翻訳することにより充実させることができます。（2021年1月）

翻訳前に重要な指示を読むには右にある[表示]をクリックしてください。

英語版記事を日本語へ機械翻訳したバージョン（Google翻訳）。
万が一翻訳の手がかりとして機械翻訳を用いた場合、翻訳者は必ず翻訳元原文を参照して機械翻訳の誤りを訂正し、正確な翻訳にしなければなりません。これが成されていない場合、記事は削除の方針G-3に基づき、削除される可能性があります。
信頼性が低いまたは低品質な文章を翻訳しないでください。もし可能ならば、文章を他言語版記事に示された文献で正しいかどうかを確認してください。
履歴継承を行うため、要約欄に翻訳元となった記事のページ名・版について記述する必要があります。記述方法については、Wikipedia:翻訳のガイドライン#要約欄への記入を参照ください。
翻訳後、{{翻訳告知|en|DNS Certification Authority Authorization|…}}をノートに追加することもできます。
Wikipedia:翻訳のガイドラインに、より詳細な翻訳の手順・指針についての説明があります。

パブリックに信頼されている認証局のセキュリティに対する懸念から、コンピュータ科学者のPhillip Hallam-Baker（英語版）とRob Stradingが草案を作成した。Internet Engineering Task Force（IETF）のproposed standardとして提案されている。

ca.example.netという名前の認証局だけにexample.comとそのすべてのサブドメインの証明書の発行を認可することを示すには、次のようなCAAレコードが指定できる^[1]。

example.com.  IN  CAA 0 issue "ca.example.net"

すべての証明書の発行を禁止するには、次のように空の発行者リストを指定する。

example.com.  IN  CAA  0 issue ";"

認証局に無効な証明書リクエストを特定のメールアドレスとReal-time Inter-network Defense（英語版）に通知するように指示するには、次のように指定する。

example.com.  IN  CAA 0 iodef "mailto:security@example.com"
example.com.  IN  CAA 0 iodef "http://iodef.example.com/"

将来のプロトコルの拡張を利用するには、たとえば、認証局が安全に処理する前に認識する必要がある新しいfutureという名前のプロパティを利用するにはissuer criticalフラグを設定することもできる。

example.com.  IN  CAA  0 issue "ca.example.net"
example.com.  IN  CAA  128 future "value"

DNS Certification Authority Authorization

例

関連項目

出典

外部リンク

Wikiwand - on