CAAレコードとは?SSL証明書の発行に失敗するケース
ページ更新日:2026/05/07
CAA(Certification Authority Authorization)レコードは、ドメインのDNSに設定できるレコードです。
そのドメインのSSL証明書を発行できる認証局(CA)を制限することができます。
2017年9月のCA/Bフォーラム要件により、認証局はSSL証明書発行前にCAAレコードを確認することが義務付けられています。
CAAレコードの仕組み
ドメインにCAAレコードが設定されていない場合、どの認証局でも証明書を発行できます。
CAAレコードに特定の認証局のみを指定すると、指定以外の認証局による発行がブロックされます。
これにより、意図しない認証局がドメインのSSL証明書を不正発行するリスクを減らせます。
CAAレコードの書き方
example.com. IN CAA 0 issue "digicert.com" example.com. IN CAA 0 issue "pki.goog" example.com. IN CAA 0 issuewild "digicert.com"
| タグ | 意味 |
issue |
通常のSSL証明書(シングル・マルチドメイン)の発行を許可する認証局 |
issuewild |
ワイルドカード証明書の発行を許可する認証局 |
iodef |
不正な発行リクエストがあった場合の通知先メールアドレス |
主な認証局のCAAレコード値
| 認証局・ブランド | CAAレコードに指定する値 |
| DigiCert(デジサート) RapidSSL・ジオトラスト・Thawteを含む |
digicert.com |
| Cybertrust(サイバートラスト) | cybertrust.ne.jp |
| Let's Encrypt | letsencrypt.org |
| Google Trust Services | pki.goog |
| Sectigo(旧Comodo) | sectigo.com |
※ 弊社で取り扱うRapidSSL・QuickSSL Premium・Thawte SSL123・True BusinessID・Secure Site はすべてDeジサート(DigiCert)発行のため、digicert.com を指定してください。
CAAレコードが原因でSSL証明書の発行に失敗するケース
DNS認証(TXTレコードまたはCNAMEレコード)の設定が正しいのに証明書が発行されない場合、CAAレコードが原因のことがあります。
- ドメインのCAAレコードに、申し込んだ認証局が含まれていない
- ワイルドカード証明書を申し込んだが、
issuewildレコードが設定されていない(または別の認証局のみ許可) - 親ドメインにCAAレコードがあり、サブドメインが継承して制限を受けている
CAAレコードを確認する方法
# dig コマンドで確認 dig CAA example.com # nslookup で確認(Windows含む) nslookup -type=CAA example.com
オンラインツールでは dnschecker.org などでCAAレコードを確認できます。
CAAレコードがない場合は?
CAAレコードが設定されていない場合は全ての認証局が発行できます。CAAレコードがないことがエラーの原因にはなりません。
ただし、セキュリティのベストプラクティスとして、使用する認証局のみに制限することが推奨されています。
📌 関連ページ:
DCV(ドメイン所有権確認)の方法:DNS・ファイル・メール認証
DCV認証が通らないときの確認ポイント
証明書透明性(CT)ログとは?