平素は、グローバルサインをご愛顧くださり誠にありがとうございます。
弊社サービスにおきまして、証明書発行時のDNS CAAレコード確認対応についてお知らせをいたします。
詳細は下記をご参照ください。
対応開始日
2024年7月29日(月)
対象サービス
・マネージドPKI Lite byGMO
※S/MIME用途の証明書のみが対象となります。アクセス認証用途のみの証明書は対象外となります。
内容
対応開始日以降、対象サービスのS/MIME用証明書の申請および発行時に、弊社システムがDNS CAAレコードを確認いたします。S/MIMEで利用するメールドメインのDNS CAAレコードが以下いずれかの条件を満たしていれば、証明書を発行(再発行含む)いたします。
- プロパティタグ "issuemail"に、少なくとも"globalsign.com "が指定されている
- プロパティタグ "issuemail"に、いかなる値も指定が無い
※少なくともglobalsign.comが指定されていれば、他社認証局が指定されていても発行は可能です。
※他社認証局の値のみが指定されている場合は、発行は不可となりますが、失効は可能です。
CAAとは
Certification Authority Authorizationの略です。ドメイン名の所有者や管理者がDNSサーバを用いて、当該ドメイン名に対して証明書の発行を許可する認証局を指定することができる仕組みです。CAAレコードを指定することで、意図しない認証局からの発行を防ぐことができます。
背景
電子証明書の安全性や信頼性向上のための活動団体であるCA/BrowserForumは、S/MIME用証明書のセキュリティガイドラインとなるS/MIME Baseline Requirementsを2023年に策定いたしました。CA/BrowserForumは、本ガイドラインの改訂事案として、S/MIME用証明書の誤発行や不正発行を防止することを目的としたCAA対応を採択いたしましたため、弊社は本対応をいたします。
なお、SSL/TLSサーバ証明書に関しては、2017年8月よりCAA対応を先行して開始しております。
よくあるご質問
- Q:CAAレコードの設定方法を教えてください。
- CAAレコードの設定方法はご利用のDNSサーバアプリケーションの種類やバージョンによって異なりますが、一般的な設定例を弊社サポートページまたはマニュアルに掲載予定でございます。
- Q:必ずCAAレコードの指定を行わなければならないのでしょうか。
- CAAレコードの指定は必ず行わなければならいものではありません。プロパティタグ "issuemail"が定義されていない場合は、従来通り証明書発行が可能でございますので、何も指定や変更が加えられていなければ、発行に影響はありません。
ただし、ネットワークやDNSの問題で、弊社システムがCAAレコードを確認できない場合は証明書発行ができないケースがございます。
- Q:SSLの発行のためにCAAレコードを指定しています。何か変更が必要でしょうか。
- SSLとはプロパティタグが異なりますため、S/MIME用証明書発行のために、SSLのCAAレコードを変更する必要はありません。
- Q:APIにも変更はありますか。
- APIリクエストに変更はありませんが、発行エラーが発生した際のレスポンスに、CAAエラーを示すものが追加されます。詳細は弊社までお問合せくださいますようお願いいたします。
ご利用のお客様にはお手数をおかけいたしますが、ご理解ご協力のほどを宜しくお願い申し上げます。
お問い合わせ
ご質問や不明な点などございましたら、下記よりお問い合わせください。
- E-mail : support-jp@globalsign.com
- Tel:03-6370-6500 受付10:00~18:00(土日祝日除く)