英文WikipediaのDNS Certification Authority Authorizationの記事からResults on Ballot 187 - Make CAA Checking Mandatoryへのリンクが張られていた。このリンク先はCA/Browserフォーラムの動議187号の採決結果で、これによって2017年9月8日よりTLS(SSL) サーバー証明書の発行に先立って、DNSのCAAリソース・レコードの確認が必須になるようだ(アールエムエスの解説記事)。 皆さん、DNSのCAAリソース・レコード、使っていますか? DNSのCAAレコードはRFC 6844で提案されているもので、ドメイン名やサブドメイン名の情報に認証局情報を追加するもの。これにより、認証局は証明書の発行時に対象ドメインのCAAレコードをチェックし、異なる認証局が設定されていた場合は誤った発行申請の