2026/03/16 7:10
証明書機関は、本日より DNSSEC を確認するようになります。
RSS: https://news.ycombinator.com/rss
要約▶
Japanese Translation:
Summary
すべての認証局(CA)は、ドメインがDNSSECを有効にしている場合は、2026年3月15日付で必ずDNSSECを検証する必要があります。この要件は、CAAレコードチェックとACME証明書発行プロセスの両方に適用されます。遵守しない場合、CAには重大なペナルティが科せられる可能性があります。
この記事は、約14年間すべてのドメインでDNSSECを使用してきたマイク・カードウェルによって執筆されています(最初はbind9、その後PowerDNS)。彼は、多くのCAがテスト期限前にこの要件を既に実装している可能性が高いと指摘しています。
読者には、レジスタラがDNSSECをサポートしているかどうかを確認し(多くの場合ワンクリックで)、まだ有効になっていない場合は有効化するよう促されています。本稿は簡潔(1分読み)であり、3月15日2026日に公開されたばかりです。
本文
2026年3月15日公開(1日前)
読み込み時間:約1分
関連記事
人間が執筆した記事:Mike Cardwell
約14年前にDNSSECを導入しました。以来、すべてのドメインで実行し続けています――最初はbind9で、その後PowerDNSへ移行しました。本日からは、すべての認証局(CA)がDNSSECが有効なドメインについて検証することが義務付けられました。つまり、CA が私のドメインに対して証明書を発行できるかどうか確認するためにCAAレコードを参照したとき、その応答が有効であることを検証しなければならないということです。ACME のやり取り中にも、同様に DNS レコードの検証が必要になります。
本日以前からすべての CA はこの要件を実装していたはずなので、期限前にテストできるようになっていました。今後は必須となりますので、これを実施していないという証拠があれば厳しく対処されると予想します。
DNSSEC について学びたくないかもしれません。自分で DNS ゾーンをホストしているわけではなくても、この文章を読んでいるあなたはドメイン名を所有している可能性が高いです。登録業者がドメインに対して DNSSEC をサポートしているかどうか確認してみませんか? たった1クリックで有効化できる場合もあります…
私の活動を支援してください
PayPal Patreon Bitcoin
私の活動をフォロー
RSS Atom Mastodon Bluesky
← 続きを読む