DNS:CAAレコードの調べ方

CAAレコードとは

CAA(Certification Authority Authorization) レコードは、ドメインを使用する証明書(TLSサーバー証明書、S/MIME証明書)の発行を許可する認証局 (CA)を指定できる。
DNSサーバーにCAA レコードを使用すると、ドメイン所有者は、証明書の発行を許可する認証局を指定でき、許可されていない認証局からは発行できない。CAA レコードが存在しない場合、どの CA からでも証明書を発行できる。
CAA レコードは、ドメイン全体または特定のホスト名のポリシーを設定でき、サブドメインに継承される。

Linuxでdigコマンドを使用して確認

タグ(tag)の説明

issue:TLSサーバー証明書の指定で利用。
issuewild: TLSサーバー証明書(ワイルドカード証明書)で利用。
issuemail: S/MIME証明書(RFC 9495)で利用。
iodef:証明書を発行できない際に連絡する連絡先

CAAレコードの検索方法

[root@localhost ~]# dig caa yahoo.co.jp

; <<>> DiG 9.16.23-RH <<>> caa yahoo.co.jp
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28032
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 5

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; MBZ: 0x0005, udp: 1480
;; QUESTION SECTION:
;yahoo.co.jp.			IN	CAA

;; ANSWER SECTION:
yahoo.co.jp.		5	IN	CAA	0 issue "digicert.com;cansignhttpexchanges=yes"
yahoo.co.jp.		5	IN	CAA	0 iodef "mailto:nic-admin@mail.yahoo.co.jp"
yahoo.co.jp.		5	IN	CAA	0 issue "cybertrust.ne.jp"
yahoo.co.jp.		5	IN	CAA	0 issue "globalsign.com"

;; AUTHORITY SECTION:
yahoo.co.jp.		5	IN	NS	ns02.yahoo.co.jp.
yahoo.co.jp.		5	IN	NS	ns01.yahoo.co.jp.
yahoo.co.jp.		5	IN	NS	ns12.yahoo.co.jp.
yahoo.co.jp.		5	IN	NS	ns11.yahoo.co.jp.

;; ADDITIONAL SECTION:
ns01.yahoo.co.jp.	5	IN	A	118.151.254.133
ns02.yahoo.co.jp.	5	IN	A	118.151.254.149
ns11.yahoo.co.jp.	5	IN	A	124.83.255.37
ns12.yahoo.co.jp.	5	IN	A	124.83.255.101

;; Query time: 17 msec
;; SERVER: 192.168.17.2#53(192.168.17.2)
;; WHEN: Sun Apr 14 11:09:31 JST 2024
;; MSG SIZE  rcvd: 356

CAAレコードの検索(answerのみ表示)

[root@localhost ~]# dig +noall +answer caa yahoo.co.jp
yahoo.co.jp.		5	IN	CAA	0 issue "cybertrust.ne.jp"
yahoo.co.jp.		5	IN	CAA	0 issue "digicert.com;cansignhttpexchanges=yes"
yahoo.co.jp.		5	IN	CAA	0 issue "globalsign.com"
yahoo.co.jp.		5	IN	CAA	0 iodef "mailto:nic-admin@mail.yahoo.co.jp"

経路を調査する際のコマンド(ルートサーバーへ問い合わせを行う)

[root@localhost ~]# dig +trace caa yahoo.co.jp

; <<>> DiG 9.16.23-RH <<>> +trace caa yahoo.co.jp
;; global options: +cmd
.			5	IN	NS	c.root-servers.net.
.			5	IN	NS	d.root-servers.net.
.			5	IN	NS	e.root-servers.net.
.			5	IN	NS	f.root-servers.net.
.			5	IN	NS	g.root-servers.net.
.			5	IN	NS	h.root-servers.net.
.			5	IN	NS	i.root-servers.net.
.			5	IN	NS	j.root-servers.net.
.			5	IN	NS	k.root-servers.net.
.			5	IN	NS	l.root-servers.net.
.			5	IN	NS	m.root-servers.net.
.			5	IN	NS	a.root-servers.net.
.			5	IN	NS	b.root-servers.net.
.			5	IN	RRSIG	NS 8 0 518400 20240426170000 20240413160000 5613 . b76jdsKNW1pvIKErb2EuvBW2DmpfBhRXB5PPKV1kwvHbgkib2JTPt51i 0DDpwaxJR7I/soLWEDJOGGwzx33AYXqhXLhQGlGxwvpEq4a9tV8sEJg7 FttTjkCW/wJnN1wFWxlTjy4u/E7bO/hzw4/mjdz3orLBPT7V0ydgiT7o xxPZDD0DDQ7eXdAFs9eEQs2RTwJWqgi2q49DA3ZxelxpdB7no5TI4VKM HIv0GGWWNWimRybEWV8sy6Rvx6CYHNIMKjAqAUzpf5oF78Q5prgo22Ro EGKWPIcaxU+57t+uZGZCwCG3uUuafbiOoOpS8+WiEWBiz5vel64iCNvH pCiqUA==
;; Received 1097 bytes from 192.168.17.2#53(192.168.17.2) in 15 ms

jp.			172800	IN	NS	a.dns.jp.
jp.			172800	IN	NS	b.dns.jp.
jp.			172800	IN	NS	c.dns.jp.
jp.			172800	IN	NS	d.dns.jp.
jp.			172800	IN	NS	e.dns.jp.
jp.			172800	IN	NS	f.dns.jp.
jp.			172800	IN	NS	g.dns.jp.
jp.			172800	IN	NS	h.dns.jp.
jp.			86400	IN	DS	22111 8 2 E5A43534B9BEAFBF35D6C6B3EAA1E9AE7FE2B4D8961252126FD67B51 72322286
jp.			86400	IN	RRSIG	DS 8 1 86400 20240426170000 20240413160000 5613 . Nf4+cWEnwdJk4ZbsD/T8OjVSHOIeuPEDBNqzOoCIsA8K3XRX4JFa8vtc BrrGoHqDHr1Dfu50+FUNLub7TkxvbXxurQNqmldmtG9FyMEFCf7UrT+n wOI5wVFjRhXlSwdI/Lc8cl1p4QmFTjXEXzNRfDUctJHUtp+8yr2BNINw bnS0WPm3jwxi4CQl+ssU2R8ekkt3O4KXDQoWpVNB83UN0QTsNRc/5TyM o6kf4ZR4u1xRwW8NYy+fym3E6gXQJWzTsSbiYA1ic+qIXS/6D357KRPa dGgoWQYJ7j2FqLVYLokxYNDQlkcE/5DMzJRCaOWoMxV9fgz/56OffNt6 Zz32VQ==
;; Received 831 bytes from 192.203.230.10#53(e.root-servers.net) in 3 ms

yahoo.co.jp.		86400	IN	NS	ns12.yahoo.co.jp.
yahoo.co.jp.		86400	IN	NS	ns01.yahoo.co.jp.
yahoo.co.jp.		86400	IN	NS	ns02.yahoo.co.jp.
yahoo.co.jp.		86400	IN	NS	ns11.yahoo.co.jp.
K8D2HBB9BVGEH428NRIO4QRIUB51NDG0.jp. 900 IN NSEC3 1 1 0 - K8DJ2S43IBDJ8QSPIAHOJJSSIAQQKBFT TXT RRSIG
K8D2HBB9BVGEH428NRIO4QRIUB51NDG0.jp. 900 IN RRSIG NSEC3 8 2 900 20240513174502 20240413174502 25581 jp. YOSpWfBwydCAHPT1O2w2bjQhql7TOyTs6HofK9EQ2gYpK3aRnGNTOV0G Dh2fMwzO2MsA1XznINmqAUaK36HWUA2W/aKQodBkmSCdBMaNu3/w3ap0 VbWloYOD04qY1h6JczWEHGA2r8norP49tAKybbH2T+yd4BdmuwWwB80s uZU=
HG8MCG11TQ1P86S8GAF7PJ1ABF86IMQU.jp. 900 IN NSEC3 1 1 0 - HGE83BO7UA9T9BUGIKS4BSGEISVOK7T9 NS DS RRSIG
HG8MCG11TQ1P86S8GAF7PJ1ABF86IMQU.jp. 900 IN RRSIG NSEC3 8 2 900 20240513174502 20240413174502 25581 jp. ISzP9kluuOHiriRYonPI1NoVgfY8K/D586VbXPwTj8P99tdHUKFRNc2i RO0ETkJqG6GchHvjIzdxUCcGDktfkT/RaiY7NfIYfrM3/cbJSEAjG5nQ yL9UmXMcSnsFCkDS3jGZFlX0SNmV6Ni+FkFHArWUxJx15QbbZGMgh4hJ 9RY=
;; Received 692 bytes from 210.138.175.244#53(d.dns.jp) in 3 ms

yahoo.co.jp.		900	IN	CAA	0 issue "cybertrust.ne.jp"
yahoo.co.jp.		900	IN	CAA	0 issue "digicert.com;cansignhttpexchanges=yes"
yahoo.co.jp.		900	IN	CAA	0 issue "globalsign.com"
yahoo.co.jp.		900	IN	CAA	0 iodef "mailto:nic-admin@mail.yahoo.co.jp"
yahoo.co.jp.		900	IN	NS	ns01.yahoo.co.jp.
yahoo.co.jp.		900	IN	NS	ns02.yahoo.co.jp.
yahoo.co.jp.		900	IN	NS	ns11.yahoo.co.jp.
yahoo.co.jp.		900	IN	NS	ns12.yahoo.co.jp.
;; Received 384 bytes from 118.151.254.133#53(ns01.yahoo.co.jp) in 2 ms

CAAレコードを確認できるサイトでの確認

Google Admin Toolbox Dig

検索結果(yahoo.co.jp)

CAA	
TTL:
15 minutes 
DATA:
0 iodef "mailto:nic-admin@mail.yahoo.co.jp"
TTL:
15 minutes 
DATA:
0 issue "digicert.com;cansignhttpexchanges=yes"
TTL:
15 minutes 
DATA:
0 issue "cybertrust.ne.jp"
TTL:
15 minutes 
DATA:
0 issue "globalsign.com"

Entrust CAA Lookup Tool

検索結果(yahoo.co.jp)

DomainCAA StatusEntrust AuthorizedCAs AuthorizedIOdef Email
yahoo.co.jpYes, CAA Record FoundNodigicert.com;cansignhttpexchanges=yes,cybertrust.ne.jp,globalsign.comnic-admin@mail.yahoo.co.jp
スポンサーリンク
タイトルとURLをコピーしました