はじめに
証明書を発行しようとする認証局は、必ず対象のドメインについてCAAレコードをチェックする必要があります。
Before issuing a certificate, a compliant CA MUST check for publication of a relevant CAA Resource Record set.
ドメイン、example.comのissuewildプロパティに;が指定されている場合、
*.example.comは発行できないはずですが、example.comの証明書は発行することができるのか気になりましたので調べてみました。
しらべてみた
CAAレコードを設定して証明書を発行してみます。ドメインはmtcq.jpを使います。
$ dig +norec +short @ns2.mtcq.jp mtcq.jp CAA 128 issuewild "\;" $ sudo letsencrypt certonly --standalone -d mtcq.jp
無事発行することができました。
そもそも、ワイルドカードでない証明書を発行するときは、issuewildを無視する必要があること
記載されていました。
セミコロン;が指定されていても一元的に発行できなくなるわけではない(プロパティを正しく解釈する必要がある)ということですね。
issuewild properties MUST be ignored when processing a request for a domain that is not a wildcard domain.
