SSLサーバ証明書のCAAにつきまして（2017年9月7日追記）

※2017年9月7日 11:00追記　
当お知らせについて、発生しておりました不具合の修正が完了しDNS CAAレコードの確認を再開いたしました。

※2017年8月31日 18:50追記
当お知らせについて、変更実施後に不具合が生じたため、現在はDNS CAAレコードの確認を行っておりません。
当件につきましては弊社対応が決定次第、再度、こちらのページでお知らせいたします。

平素は、グローバルサインをご愛顧いただき誠にありがとうございます。

この度、電子証明書の業界団体であるCA/ブラウザフォーラムによって採用されたCAAレコードについて、弊社での対応をお知らせいたします。

対象サービス

※スキップ申込サービスやSSLマネージドサービス、API（ワンクリックSSL等）での発行も含みます。

変更実施日

2017年8月28日（月）

内容

変更実施日以降、対象サービスの証明書発行時に弊社システムがDNS CAAレコードを確認いたします。
DNS CAAレコードが以下いずれかの条件を満たしていれば、証明書を発行（再発行、SANの追加含む）いたします。

• DNS CAAレコードに弊社が指定されている
• DNS CAAレコードに認証局の指定が無い

※他社認証局だけが登録されている場合も、失効は可能です。
※他社認証局とグローバルサインのどちらも登録されている場合は、発行（再発行、SANの追加含む）は可能です。
※DNS CAAレコードへの登録方法につきましては、後日ご案内する予定でございます。

CAAとは

Certification Authority Authorizationの略です。ドメイン名の所有者や管理者がDNSサーバを用いて、そのドメイン名に対して証明書発行を許可する認証局を指定することができる仕組みです。DNSサーバにCAAレコードを指定することで、管理するドメイン名に対して、意図しない認証局から証明書が発行されるのを防ぐことができます。

理由、背景

2017年3月に電子証明書の業界団体であるCA/ブラウザフォーラムは、認証局（CA）が発行するSSLサーバ証明書について、2017年9月8日以降は証明書の発行時に誤発行を防止する目的でCAAレコードを確認することを義務付けました（Ballot187）。
これにより、CAAレコードが登録されている場合は、登録されている認証局からのみ証明書は発行されるようになります。弊社も当件に準拠するための変更を行うことを決定いたしました。

ご利用のお客様にはお手数をおかけいたしますが、ご理解ご協力のほどを宜しくお願い申し上げます。