CAAレコード(サーバ証明書発行とDNSサーバ)
CAAレコード(サーバ証明書発行とDNSサーバ)
文字おこし
今日はDNSのCAAレコードについて説明していきます。
情報処理安全確保支援士令和3年春 午前2問10でCAAレコードについて問われています。
まず、CAAレコードの説明の前に
簡単にサーバ証明書の発行についておさらいしておきましょう。
サーバ証明書とは
通信先のサーバーがきちんと実在することを、公正な第三者機関である認証局(CA)が証明するものになります。
サーバ証明書の発行の詳細な流れは以前の動画で説明しているので、
IT用語動画辞典で「サーバ証明書」で検索お願いします。
例えばtoppakou.comのサーバ証明書を発行したかったら証明書発行機関である認証局CAに依頼します。
細分化すると発行局、登録局などで分かれますけど、ここでは広義の意味で認証局CAといいます。
そして、認証局はtoppakou.comに対してサーバ証明書を発行して、申請者に返信します。
そして、そのサーバ証明書を、toppakou.comのホームページの情報を入れるWEBサーバ等に登録します。
そして、toppakou.comのホームページを見たいという利用者は
toppakou.comのURLをブラウザに入れて、DNSサーバに対して、toppakou.comに対応するWEBサーバのIPアドレスを問い合わせて
そのWEBサーバにアクセスします。そのときにWEBサーバに登録してあるサーバ証明書が取得できるので、それが信頼できるか、信頼できる第三者機関のCAの公開鍵で検証する流れになります。
証明書の発行機関のCAとして代表的なものには、このようなシマンテック、JPRSなどがあります。
では、CAAレコードが何かということについて説明します。
DNS関連でドメインとIPアドレスの紐づけを行うAレコードなどがありますが、CAAレコードはDNS情報の1つになります。
先ほど、証明書の発行機関について説明しましたが、CAAレコードを指定することで、
サーバー証明書を発行できる認証局(CA)を指定できる仕組みです。
例えばCAAレコードにシマンテックのコモンネームを指定したとしましょう。
そして、サーバ証明書を認証局であるシマンテック社に依頼します。
シマンテック社はこのCAAレコードを参照して、自分自身が設定されているので問題なしとしてサーバ証明書を発行します。
ただ、私と関係ない第三者がJPRSに対してtoppakou.comのサーバ証明書の発行依頼をしたとします。
JPRS社は、CAAレコードを参照して、自分自身が設定されていない、逆に言えばシマンテック社しかないので、サーバ証明書を発行しません。
つまり、CAAレコードはサーバ証明書を第三者が勝手に発行することの防止や誤発行を防止する仕組みです。
認証局(CA)はサーバ証明書を発行する際にDNSを確認し、
ドメイン所有者がその認証局にサーバ証明書の発行を許可しているかどうかをチェックします。
設定方法については、例えばtoppakou.comのサーバ証明書の発行をシマンテック社のみに許可したい場合は、
toppakou.com. IN CAA 0 issue “symantec.com”
と記載します。
今回の問題を解くうえでここまでの知識は必要ないので詳しい説明は割愛しますが、
重要な部分はINの後のCAAでCAAレコードを意味するということと、
issueの後に許可する認証局のコモンネームを入れているところになります。
2017 年 9 月 8 日から認証局が審査する際の CAA レコードチェックが必須化されます。
ただ、CAAレコードを設定していない場合も多いので、
• CAA レコード未登録の場合
従来どおり、認証局は証明書を発行可能
• CAA レコード登録済みの場合
許可された認証局のみ、証明書を発行可能。それ以外の認証局は発行してはいけません。
というルールになっています。
それでは問題に戻りましょう。
CAAレコードの目的としては今説明したように
不正なサーバ証明書の発行を防ぐことになるので
エが正解になります。
以上になります。
この記事が気に入ったらサポートをしてみませんか?