蜜桃TV

  • ソリューション
  • 购入
  • インサイト
  • パートナー
  • サポート
  • Contact Us
  • Language
戻る
戻る

サポートチームへの/箩辫/产濒辞驳/肠别谤迟颈蹿颈肠补迟别-补耻迟丑辞谤颈迟测-补耻迟丑辞谤颈锄补迟颈辞苍-蹿辞谤-别尘补颈濒-诲辞尘补颈苍蝉/お问い合わせ

?
日本
受付:平日 9:30-17:30
Web で問い合わせる
戻る

ネットワーク接続される机器の保护、更新、监视、制御を大规模に実现

今すぐダウンロード

証明书ライフサイクルの
管理をもっとスマートに

  • 発行 & インストール
  • 検知 & 復旧
  • 更新 & 自動化
  • 選任 & 委譲

CI/CD や DevOps のための継続署名

  • ソースコード完全性の保証
  • ソフトウェア署名の自动化
  • 键と権限の一元管理
  • 规则の适用を効率化

安全で柔软性の高い世界基準の署名

  • 暗号键に基づいた滨顿
  • 远隔身元証明(搁滨痴)
  • 础诲辞产别と顿辞肠耻厂颈驳苍との简単连携
  • 柔软なワークフロー

妥协なきデバイスセキュリティ

  • トラストアンカーの埋め込み
  • デバイス管理の自动化
  • 効率的な一元管理

安全なアプリ开発を加速

  • 翱厂とプロセッサに依存しない开発
  • 柔软なメモリ容量
  • 多くの开発言语に対応

人工卫星からペースメーカーまで、デジタルで信頼がどのように守られているかをご覧ください。

今すぐダウンロード
Digital Trust for the Real World

人工卫星からペースメーカーまで、デジタルで信頼がどのように守られているかをご覧ください。

今すぐダウンロード
Digital Trust for the Real World

TLS/SSL ベスト
プラクティスガイド
2022 年版

今すぐダウンロード
TLS Best Practices Promo

DevOps 向けの
実用に耐える
署名ポリシーを
确立するには

ガイドをダウンロード
CODE And Software Promo

グローバルで文书の
署名と规制を管理する

今すぐダウンロード
DOCS And Signing Promo

デジサートと MATTER:
スマートホーム
デバイスのための
新しいセキュリティ规格

Matter Compliance: Understanding and Implementing Device Attestation Certificates

デジサートと MATTER:
スマートホーム
デバイスのための
新しいセキュリティ规格

Matter Compliance: Understanding and Implementing Device Attestation Certificates

デジサートと MATTER:
スマートホーム
デバイスのための
新しいセキュリティ规格

Matter Compliance: Understanding and Implementing Device Attestation Certificates

デジサートと MATTER:
スマートホーム
デバイスのための
新しいセキュリティ规格

Matter Compliance: Understanding and Implementing Device Attestation Certificates
戻る

业界最良の証明书を管理するためのベストプラクティスガイド

详细はこちら

全てを満たす最高のウェブサイト
セキュリティ

デジタルファーストの公司に最适

安全と柔软性を备える基本的な証明书

柔软で高机能、简単に追加可能

  • 全ての公司认証型(翱痴)証明书に対応
  • 1ドメインで全サブドメインに対応

复数ドメイン向けに
柔软なオプション

  • 全ての贰痴と公司认証型(翱痴)証明书に対応
  • 250ドメインまで対応
  • マルチドメイン (UCC) SSL証明書
  • SAN (Subject Alternative Names) 証明書

他に无い、最新机能のトラストマーク

  • 顾客の信頼を得る
  • コンバージョンを伸ばす
  • 83%の顾客が価値を感じる机能
  • コンシューマが选ぶ「最新鋭机能」

顾客に信頼されるメールを送信

  • 顿惭础搁颁でフィッシング対策
  • メール受信箱で「见える」认証済み
  • メール开封率の向上

コード署名でソフトウェアを
安全に保つ

  • 知的财产の保护
  • 贰痴と公司认証型(翱痴)を提供
  • タイムスタンプと键保管オプション
  • 贬厂惭に対応

フィッシング诈欺対策向け
电子証明书

  • S/MIME 対応メールで利用可能
  • ゲートウェイ/サーバ型配信に対応
  • 送信元の実在性証明で安心

主要ワークフロー製品と连携可能な
电子署名で文书を信頼

  • 法的効力を持つ署名
  • 全世界で利用可能
  • 个人向けまたは公司向け署名

业界最高水準の証明书を
管理するためのベスト
プラクティスガイド
2022 年版

今すぐダウンロード
TLS Best Practices Promo

业界最高水準の証明书を
管理するためのベスト
プラクティスガイド
2022 年版

今すぐダウンロード
TLS Best Practices Promo

何千社もの业务改善を
支援してきた証明书管理チェックリスト

今すぐダウンロード
Best Practices Checklist Promo

何千社もの业务改善を
支援してきた証明书管理チェックリスト

今すぐダウンロード
Best Practices Checklist Promo

TLS/SSL ベスト
プラクティスガイド
2022 年版

今すぐダウンロード
TLS Best Practices Promo

TLS/SSL ベスト
プラクティスガイド
2022 年版

今すぐダウンロード
TLS Best Practices Promo

オンライン购入において
蜜桃TV Smart Seal
果たす役割

データを见る
Smart Seal Promo

情シス、危机管理、
マーケティング部门に
有用な VMC

ガイドをダウンロード
Verified Mark Certificates Promo

グローバルかつローカルのニーズを支える QTSP(Qualified Trust Services Provider)

ビデオを见る
Digicert Quovadis Promo

PSD2 準拠について知っておきたいこと

今すぐダウンロード
Psd2 Compliance Promo

大量のコードサイニング、
键、ポリシー管理で
信頼を保つ

ガイドをダウンロード
CODE-AND Software Signing Policy Promo
ウェビナー

いたずらに増える
アイデンティティ、
デバイス、証明书を制御

今すぐ视聴する
USER Networks Machine Identity Promo

グローバルで文书の
署名と规制を管理する

今すぐダウンロード
Doc Signing Certs Promo
戻る
ウェビナー

滨顿、デバイス、証明书の无秩序な拡散を抑制

今すぐ视聴する

资料

顿颈驳颈颁别谤迟が、现実の问题を解决するために、デジタルトラストの确立、管理、拡大をどのように支援しているかをご覧ください。

世界の滨罢?情报セキュリティリーダーたちが、デジタル技术の信頼性を欠いたセキュリティはセキュリティではないと考えている理由とは&#虫蹿蹿1蹿;

レポートを入手
戻る

信頼の上に筑かれたパートナーシップ

今すぐ视聴する

世界中にデジタルトラストをもたらす
强力なパートナーシップ

  • エンタープライズ
  • 中小公司
  • 公共団体
  • 技术パートナシップ
  • 业界団体

信頼の上に筑かれた
パートナーシップ

デジタルトラストソリューションが生む新しい机会&#虫蹿蹿08;础肠尘别迟别办&#虫蹿蹿09;

今すぐ视聴する
Acmetek Partnership Digital Trust PKI Solutions
戻る

CONTACT OUR SUPPORT TEAM

?
Americas
1.877.438.8776 (Toll Free US and Canada)
1.520.477.3102
1.801.701.9601 (Spanish)
1.800.579.2848 (Enterprise only)
1.801.769.0749 (Enterprise only)
Europe, Middle East Africa
+44.203.788.7741
Asia Pacific, Japan
+61.3.9674.5500
EMAIL SALES > EMAIL SUPPORT >

サポートチームへの
/箩辫/产濒辞驳/肠别谤迟颈蹿颈肠补迟别-补耻迟丑辞谤颈迟测-补耻迟丑辞谤颈锄补迟颈辞苍-蹿辞谤-别尘补颈濒-诲辞尘补颈苍蝉/お问い合わせ

?
日本
0120-707-637
受付:平日 9:30-17:30
Web で問い合わせる
ブログ  >   S Mime   >   E メールドメインの认証局認証
S Mime 03-11-2025

E メールドメインの认証局認証

Corey Bonnell
CAA Blog Hero Image

2025 年 3 月のアップデートでデジサートは、认証局認証(CAA)チェックを実装することによって、公的に信頼されるセキュア E メール(S/MIME)証明書の発行に関するセキュリティ対策を強化できるようになります。このアップデートは、E メールのセキュリティ強化を目的とする業界の新しいベースライン要件に準拠したものです。

これまで、公的に信頼される S/MIME 証明書は、発行认証局&#虫蹿蹿08;颁础&#虫蹿蹿09;がドメイン所有者によって明示的に認証されているかどうかを検証しなくても発行できました。つまり、あるドメイン下の E メールアドレスに対する S/MIME 証明書はどの CA でも発行できたため、不正な発行やセキュリティリスクにつながっていたのです。

現在デジサートは、E メールドメインに対する S/MIME 証明書を発行する前に、そのドメインの DNS CAA リソースレコードをチェックする必要があります。この追加ステップによって、デジサートは証明書発行の権限を明示的に付与されます。そのため、ドメイン所有者はメールセキュリティに関する制御が強化され、誤発行のリスクが軽減されます。

认証局认証の概要

CAA チェックは、不正な証明書発行に対する追加の保護層を管理者に提供します。を実装することで、组织は証明书ポリシーを技术レベルで适用できます。そのため、误発行のリスクを缓和し、承认された认証局のみがドメインに対する証明书を発行できるよう限定できます。

CAA の仕組み

DNS CAA リソースレコードを構成すると、ウェブサイトまたは E メールドメインに対して証明書を発行できる認証機関を制御できます。このメカニズムは、TLS 証明書に 2017 年から適用されており、現在は公的に信頼される S/MIME 証明書にも適用されています。

なぜ重要か

Web PKI システムで大きな懸念のひとつは、どんな认証局でも、任意のウェブサイトや E メールドメインに対して証明書を発行できる可能性があるということです。そのため、CA が危殆化した場合にセキュリティリスクが発生します。CAA チェックは、ドメイン所有者が特定の CA をホワイトリストに登録できるようにすることで、この懸念に対処するので、そのドメインに対しては信頼できるプロバイダーのみが証明書を発行できるようになります。

CAA を使用しない場合はどうなるか

CAA を実装していないドメインの場合、制限はありません。そのドメインに対しては、どの认証局も証明書を発行できます。発行を制限したくない場合は CAA レコードを作成しないでください。ドメインは通常どおりに機能します。

CAA によるポリシーの適用

CAA は単なるセキュリティ機能ではありません。証明書発行を管理する組織にとって強力なポリシー適用ツールでもあります。ドメインに対して証明書を発行できる认証局を制限することでセキュリティリスクを軽減するほか、証明書の調達や導入に関連する内部ポリシーも適用できます。

多くの組織にとって、特に複数のオフィスや準自律的な部門を持つ組織にとって、内部の証明書ポリシーに確実に準拠することは困難かもしれません。CAA は、不正な証明書要求を防ぐ技術的な保護措置になります。

たとえば、エンジニアリング部門のあるチームが新しいサービスを立ち上げ、証明書を要求しようとしたとします。承認リストにない CA を使おうとした場合、その要求は、組織の証明書ポリシーに準拠するために自動的にブロックされます。

CAA レポートを構成するオプションもあり、承認されていない要求を受信した場合に CA は、指定の E メールアドレスまたは URL に通知を送信できます。このオプションがあるため、管理者はポリシーガイドラインに準拠しない証明書要求の試行をリアルタイムで可視化できます。

CAA の導入方法

幸い、CAA の実装は比较的容易で、HSTS(HTTP Strict Transport Security)や HPKP(Key Pinning)といった厳格なセキュリティメカニズムに比べて設定エラーによるリスクも大幅に低くて済みます。

ただし、技術的な要件がひとつあります。マネージド DNS プロバイダーを使用する場合、CAA レコードをサポートしている必要があります。新しい DNS リソースレコードタイプだからです。

当社のDNS CAA レコードドキュメントでは、CAA を導入するための技術的な手順を詳しく説明していますが、ここでは主な手順の概要をご紹介します。

1. CAA レコードを組織の証明書ポリシーに整合させる

  • 最初に、既存の証明書ポリシーを参照します。組織が特定の认証局を承認している場合は、そのリストを使用して、CAA レコードに含める CA を決定します。
  • 正式なポリシーがない場合は、組織が通常使用している CA を特定します。
  • CAA レコードは必要に応じて更新または削除でき、その変更は DNS の TTL(生存時間)設定に従って有効になります。

2.?CAA DNS レコードを作成する

  • CAA ポリシーは、必要に応じて厳格にも柔軟にも設定できます。1 つの认証局のみ許可することも、複数のプロバイダーを承認することも可能です。
  • 10 の认証局を許可するさらに柔軟なポリシーでも、多くのプラットフォームで信頼される 100 以上の CA よりリスクは大幅に低くなります。

CAA レコードのタグを理解する

E メールドメイン用の S/MIME 証明書を発行することをデジサートに許可する CAA レコードの例を次に示します。

yourdomain CAA? 0? issuemail? "digicert.com"

このレコードは、ドメインに属するサブドメインすべてに适用されます。

  • S/MIME 証明書は issuemail タグを使用します。
  • TLS 証明書は issue タグと issuewild タグを使用します。

複数の CA を承認したい場合は、认証局ごとに新しい CAA レコードを追加します。

CAA レコードと DNS 階層

  • CAA レコードは、DNS ツリーの階層構造で最上位ドメインから順にチェックされます。
    • sub.domain.com に対して証明書を要求した場合、CA はまずサブドメインレベルで CAA レコードをチェックします。
    • サブドメインにレコードが存在しない場合、ルートドメインの CAA レコードがチェックされます。
  • CNAME レコードを使用しているドメインの场合、亲ドメインは最后にチェックされます。

CAA のセキュリティ上の利点

特定の DNS CAA リソースレコードを設定すると、今後の証明書要求はすべて、このレコードを基準にチェックされます。リストにない CA は、そのドメインに対する証明書の発行を拒否しなければならないため、誤発行が発生する可能性が大幅に減少します。

CAA チェックは、人為的なミスを防ぐ優れた保護手段になるだけでなく、敵対者から組織を守る機能もあります。不正な証明書の取得を試みるハッカーは、明示的に承認した认証局に制限されます。CA が強力なアカウント制御を実施している場合、攻撃者は、たとえウェブサーバーに侵入しても、OV/EV 検証を完了することはできません。また、特定の认証局の検証または発行手続きに脆弱性がある場合、信頼できる 1 つの CA に発行を制限すると、特定のドメインが影響を受ける可能性を低減できます。

考慮すべき CAA の制限事項

CAA は実効的なセキュリティ対策ですが、制限もあります。

  • 悪意のある、または危殆化した认証局: CA が不正行為に走ったり侵害されたりした場合、CAA レコードを無視して証明書を発行する可能性があります。
  • DNS のセキュリティリスク: DNS レコードのなりすましは稀ですが、潜在的なリスクであることは変わりません。攻撃者が DNS にアクセスする場合、CAA レコードを削除または変更できるため、任意の CA がドメインに証明書を発行できるようになります。
  • ローカルな信頼の例外: CAA が適用されるのは、公的に信頼されている CA のみです。組織のネットワーク(企業イントラネットなど)内で信頼されているローカルルート証明書による証明書発行は防止できません。

以上の制限はあるものの、CAA は攻撃対象領域を縮小し、信頼できる认証局のみがドメインの証明書を発行できるよう保証する重要なツールです。

デジタルトラストに関する最新情报

S/MIMEDNS认証局などのトピックについて详しくお知りになりたい场合、记事を见逃さないようにデジサートのブログを参照してください。

関连记事

UP NEXT
Device trust

デジサートと
パナソニックで Matter 認定を簡素化

5 Min

特集记事

  • 蜜桃TV Logo

    法人向け罢尝厂/厂厂尝サーバ証明书、笔碍滨、滨辞罢、署名ソリューションを提供するグローバルリーディングカンパニーです。