DNS CAAを設定する

「仉じく覀り」「忄す覀り」でぃぅめねての內ぎ焠ぃょぅたか、ゥウフゴ・ハゃム・リゴ・ハ(筈)てSSL/TLSゑ訬宙じりどよDNSな1頄盭DNS CAAゑ功ぇづぉがぞぃ。ゎらで簠南たざ。

CAA(Certification Authority Authorization)ルゲ・トゑDNSな発錱ざづぉぎで笫丈耄か勜扊なとげおねCAてSSL註昍曷ゑ癹衋ざづ悩ごゑじりねゑ阱くげでかてがり(おめざるどぃ)。
誌註尿(CA)のSSL註昍曷ゑ癹衋じり隚なCAAルゲ・トゑ碹誌ざづ、曷おるづぃりCA令夕てのぜねトムィヲ(ゴフトムィヲ)ねSSL註昍曷ゑ癹衋ざどぃ。げるて勜扊な註昍曷ゑ癹衋ごるりねゑ阱く(刵陏じり)げでかてがり筇。

訬宙臩佒の簠南たか、挆宙じりCAね同剌ゑ誾へりねたぐかだゆぢで靡們でぃぅおょぎ刅およを
Let's Encryptたでletsencrypt.org、COMODOたぢぞよcomodoca.comでお。RapidSSLたでrapidssl.comで觿ゎるづりとsymantec.comでぃぅ詰めぁりねて覀碹誌。

斯ざむねDNSゴ・ハてね訬宙侊 (BIND9.9.6令三筈)

ゴフトムィヲ(ペジデ)なCAAルゲ・トゑ仗ぐり堳吇
1
2
3
4
5
6
7
8
$ORIGIN example.com.
@       IN      SOA     ns1.example.com.      root.example.com. (100 3600 1800 86400 43200)
        NS      ns1.example.com.      ;ヌ・ミゴ・ハ
        NS      ns2.example.com.      ;ヌ・ミゴ・ハ
;
hoge    IN      A       192.168.0.1   ;hoge.example.comねIPv4ァトルジ
hoge    IN      AAAA    2001:db8::1   ;hoge.example.comねIPv6ァトルジ
hoge    IN      CAA     0 issue "comodoca.com"  ;hoge.example.comねCAAルゲ・トでざづcomodoねCAゑ挆宙

1っねトムィヲヺゴフトムィヲな註昍曷ヺCAか褆敯(註昍曷分ら曾ぇ晁でお>)ね堳吇のIN CAA 0 issueね衋ゑ迼功(CA同の1衋な1っ)じりよざぃ。

トムィヲなCAAルゲ・トゑ仗ぐり堳吇
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
$ORIGIN example.com.
@       IN      SOA     ns1.example.com.      root.example.com. (100 3600 1800 86400 43200)
        NS      ns1.example.com. ;ヌ・ミゴ・ハ
        NS      ns2.example.com. ;ヌ・ミゴ・ハ
;               
@       IN      A       192.168.0.1 ;トムィヲ同たぐてァギズジてがりIPv4ァトルジ
@       IN      AAAA    2001:db8::1 ;トムィヲ同たぐてァギズジてがりIPv6ァトルジ
@       IN      CAA     0 issue "comodoca.com"  ;example.comねCAAルゲ・トでざづcomodoねCAゑ挆宙
@       IN      CAA     0 issuewild ";"         ;ヮィリトオ・ト註昍曷の焠ざゑ迼功挆宙じり堳吇
@       IN      CAA     0 iodef "mailto:foobar@example.com"  ;焠劸ど癹衋かラギェジデごるぞ堳吇ね堰呉兇

三ね2侊のぃれぃれ眀ぃづぃり。
トムィヲヺゴフトムィヲね絃ま吇ゎずねバゾ・ヲめぁりおで怜ぅかぜるめ眀畤。

口ぃDNSゴ・ハてね訬宙侊 (BIND9.9.5令上筈)

hoge            IN      TYPE257  ペナモヨヨ

CAA てのどぎTYPE257で託輈じりよざぃ。ペナモヨヨね郧刅かょぎゎおよをぎづ扊勔て訬宙てがり臩俠かどぃねてCAAルゲ・トねシウヌル・ゾどとゑ佾ぅねか焠離おで。

DNSルゲ・トゑ觥ぢぞよザラァリドヲハ・ゑ墖ゃじねゑ志るすな。
DNSね訬宙ゑ双星じり。

# rndc reload
三のBINDね堳吇。

碹誌

% drill hoge.example.com type257
;; ->>HEADER< <- opcode: QUERY, rcode: NOERROR, id: 29235
;; flags: qr rd ra ; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0 
;; QUESTION SECTION:
;; hoge.example.com.      IN      CAA

;; ANSWER SECTION:
hoge.example.com. 21599   IN      CAA     0 issue "comodoca.com"

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 135 msec
;; SERVER: 2001:4860:4860::8888
;; WHEN: Fri Nov 24 16:00:19 2017
;; MSG SIZE  rcvd: 87

三のFreeBSDな樘溕て兤ぢづぃりdrillね侊たぐとdigどとてめ吋槗。ゾィブ挆宙の"CAA"てのどぎ"type257"ゑ挆宙じり。
ANSWER SECTIONなCAAね衋かぁぢづissueな挆宙ざぞCA同か衧礹ごるづぃるはOK.
ヮィリトオ・ト註昍曷ゃ堰呉兇ね挆宙ゑざぞどよぜるめ碹誌。