はじめに
証明書を発行しようとする認証局は、必ず対象のドメインについてCAAレコードをチェックする必要があります。
Before issuing a certificate, a compliant CA MUST check for publication of a relevant CAA Resource Record set.
ドメイン、example.com
のissuewild
プロパティに;
が指定されている場合、
*.example.com
は発行できないはずですが、example.com
の証明書は発行することができるのか気になりましたので調べてみました。
しらべてみた
CAAレコードを設定して証明書を発行してみます。ドメインはmtcq.jp
を使います。
$ dig +norec +short @ns2.mtcq.jp mtcq.jp CAA 128 issuewild "\;" $ sudo letsencrypt certonly --standalone -d mtcq.jp
無事発行することができました。
そもそも、ワイルドカードでない証明書を発行するときは、issuewild
を無視する必要があること
記載されていました。
セミコロン;
が指定されていても一元的に発行できなくなるわけではない(プロパティを正しく解釈する必要がある)ということですね。
issuewild properties MUST be ignored when processing a request for a domain that is not a wildcard domain.