S/MIME の新しい CAA 機能: 知っておくべきこと

今年 1 月、CA/ブラウザ フォーラムは CAA レコードを拡張することに合意しました。Andreas Soll が変更点について説明します。

9 月以降、S/MIME 証明書の発行を制御するための新しい CAA レコード「issuemail」が利用可能になりました。S/MIME の新しい CAA 機能は、RFC 9495 で正式に規定されました。

• CAA レコードとは何ですか?

証明機関承認 (CAA) レコードは、ドメイン所有者が SSL/TLS 証明書の発行を特定の証明機関 (CA) に制限できるようにするドメイン ネーム サーバー (DNS) リソース レコードの一種です。

• S/MIME とは何ですか?

S/MIME 証明書は、電子メール署名証明書または個人認証証明書と呼ばれることもあります。電子メール メッセージなどの MIME データにエンドツーエンドの暗号化を提供し、送信者の認証、メッセージの整合性、機密性、およびデータのセキュリティを保証します。

• 新しい「issuemail」CAA はどのような影響を与えますか?

CAA エントリに S/MIME ベースライン要件が導入されたことで、S/MIME 証明書の発行要件を定義するための標準化された方法が提供されるようになりました。つまり、CA (証明機関) を制限したり、S/MIME 証明書の発行を完全に禁止したりできるようになりました。

• 私のプロバイダーではこの機能が見つかりません。いつ利用可能になりますか?

Questel はすでにこの機能を実装しており、当社の企業ドメイン サービスのお客様にすぐにご利用いただけるようになっています。他の DNS プロバイダーは、2025 年 3 月 15 日までに実装する必要があります。この日付をもって、この機能のサポートが必須となります。

• 記録はどのようになっているのでしょうか?

issue、issuewild、iodef などの既存の CAA タグに加えて、新しい issuemail タグが S/MIME 証明書の発行を制御するために使用されるようになりました。レコードは次のようになります。

example.com CAA 0 発行メール "yourcertificateauthority.com"

この例では、証明機関 yourcertificateauthority.com のみが S/MIME 証明書を発行できます。

証明書の発行を完全に禁止したい場合は、次の設定で行うことができます。

example.com CAA 0 発行メール ";"

この例では、ドメイン example.com に対して S/MIME 証明書を発行できるユーザーはいません。

変更に関する詳細については、 Questelドメインチームにお問い合わせください。