AWS CertificateManagerで使用するためにCAADNSレコードを設定するにはどうすればよいですか

2017-09を更新

AWSガイドの公式ACMガイドには、CAAに関するセクションが含まれています： http://docs.aws.Amazon.com/acm/latest/userguide/setup-caa.html

以下の例と同じ例が含まれており、ACMがCAA構成を尊重していると主張し、フラグを設定しないことを明確にしています（flags=0）：

次の4つのAmazonCAのいずれかを指定するCAAレコードがない場合、ACMはドメインまたはサブドメインに証明書を発行できません。

Amazonが認証実務ステートメントで無条件のCAA検証を約束するまで、

CAまたはCAのアフィリエイトがドメインのDNSのDNSオペレーター（RFC 7719で定義されている）である場合、CAAチェックはオプションです。

CABフォーラムの投票187（2019-09-08発効） 。

元の投稿

あなたはただ使うことができます

example.org. CAA 0 issue "Amazon.com"

なぜAmazon.com？

なぜなら、そこにあるほぼすべてのCAが、その管理下で最も記憶に残るドメインを使用することを推奨しており、Amazonはまだこれ以上具体的な通信を行っていないからです。

https://tools.ietf.org/html/rfc6844#section-

発行<発行者ドメイン名> [; <名前> = <値>] *：
発行プロパティエントリは、ドメイン名の所有者またはそのドメイン名の所有者の明示的な権限の下で行動する当事者が、プロパティが公開されているドメインの証明書を発行することを許可します。

フラグを使用しないのはなぜですか（例：flags=128：クリティカルとしてマークする）？

現在（2017-08）の時点で、AmazonはCAAレコードを考慮していないため、CAAレコードを設定し、後で公開するガイドラインに準拠しない可能性があるため、何が悪かったのかを理解する上での頭痛の種に備えているだけです。 。

Amazonは、aws.Amazon.comやアカウント名の使用を追加で推奨する場合としない場合があります ブラウザベンダーへのレポートはそうなっているようです 。

Amazon Trustパブリックドキュメントリポジトリ にはAmazon Trust Services Certification Practice Statement v1.Xというドキュメントが含まれており、そこで「CAA」を検索できます。 v1.0.5では、これは次のように述べています

AmazonルートCAは、証明書を発行する前にCAAレコードをチェックしません。