DigiLoog

“ns-lab BB”の主要サーバはLet’s EncryptのSSL証明書を利用しているが、
一部サービスでは認証局からSSL証明書を購入して使っている。

購入している方では、セコムトラストのSSL証明書を利用していたが、
数年使い続けていたのと他社も使ってみたかったのでJPRSに乗り換える事とした。
この乗り換えに罠が潜んでおり、見事にトラップカードが発動したので備忘録を残す。

起きた事は明確で、権威DNSにJPRSのCAAレコード追加を忘れており、
ルートCAのSSL証明書発行プロセスで順当に拒否された (´・ω・`)

CAAレコードは、該当ドメインで発行を許可する認証局を指定する事で、
意図しないSSL証明書の発行を抑制する仕組み。

正直な所、自宅サーバレベルならCAAレコードは不要なのだが、
一部のHTTPS判定サイトの評価基準にCAAレコード登録があったので数年前に登録した。

今回はCAAレコードを更新していなかったのが問題なので、
セコムトラストのCAAレコードを削除して、新たにJPRSのCAAレコードを追加した。
この状態で改めてSSL証明書の発行をJPRSに依頼した所、無事に審査が通り発行出来た。

CAAレコードは殆ど弄らない設定だからこそ忘れていた。
まだ馴染みが無いCAAレコードだが、
YahooやGoogleなど大所は設定されているので徐々に普及していくと思われる。
自鯖で必要なシーンはほぼ無いが、自鯖だからこそ出来る設定でもあるので、
当面はこのままレコードを管理しようと思う。