いつの間にかTLS1.3 Readyな世界でTLS1.3を調べている途中に出会ったDNS CAAAmazon Route 53 now supports CAA recordsによるとRoute 53ででもCAAがサポートされたと言うことなので実際入れてみる。 DNS CAAとはによると ドメインの管理者がDNSのCAA (Certification Authority Authorization) レコードを利用し、ドメイン名とサブドメインに対して証明書を発行できる認証局 (CA) を指定できます。 ドメイン管理者(DNSの変更する権限のある人)がどこの証明書を使えと明示的に宣言できるという認識です。 2017年9月から証明書発行時に確認されるようになるなんていう話もあるのでDNS側としては対応しておいた方がいいんでしょうね。 現状CAAは普及していないっぽい。ざっとドメインを調べたけど
