CAA (Certification Authority Authorization) レコードで、どの認証局からTLS証明書の発行を許可しているか。DNSJP独自のスキャンデータで可視化。
CAA (Certification Authority Authorization) は、ドメイン所有者が「このドメインに対してTLS証明書を発行してよい認証局」をDNSで宣言する仕組みです (RFC 8659)。CAA レコードで Let's Encrypt を許可すると、他の認証局は仮に不正申請を受けても証明書を発行しない運用になります。誤発行による中間者攻撃を防ぐ基本対策です。
本レポートは、DNSJPが独自収集した.jpドメインのうち DNS 解決に成功したものを対象に、CAA レコードの公開有無と、指定されている認証局の分布を可視化します。全 1,392,866 件のうち、CAA を設定しているドメインは 8,639 件(0.62%)でした。
属性型.jp (co.jp, go.jp など) と汎用.jpで設定状況がどう違うか。
| サブカテゴリ | 対象数 | CAA設定 | 設定率 |
|---|---|---|---|
| 汎用 .jp | 864,514 | 7,005 | 0.8% |
| co.jp (企業) | 434,201 | 1,185 | 0.3% |
| or.jp (非営利) | 43,795 | 87 | 0.2% |
| ac.jp (学術) | 16,038 | 50 | 0.3% |
| ne.jp (ネットワーク) | 14,661 | 191 | 1.3% |
| ed.jp (教育) | 6,905 | 12 | 0.2% |
| gr.jp (任意団体) | 4,821 | 74 | 1.5% |
| go.jp (政府) | 3,787 | 17 | 0.4% |
| lg.jp (地方自治体) | 3,294 | 0 | 0.0% |
| ad.jp (ネットワーク管理) | 850 | 18 | 2.1% |
CAAレコードの issue / issuewild で許可されている認証局ドメインを集計 (同一ドメインが複数CAを許可していれば重複カウント)。
| # | 認証局 | 許可ドメイン数 | シェア |
|---|---|---|---|
| 1 | letsencrypt.org | 7,343 | 49.0% |
| 2 | pki.goog | 1,287 | 8.6% |
| 3 | sectigo.com | 1,135 | 7.6% |
| 4 | ssl.com | 935 | 6.2% |
| 5 | globalsign.com | 745 | 5.0% |
| 6 | digicert.com | 673 | 4.5% |
| 7 | comodoca.com | 643 | 4.3% |
| 8 | pki.goog; cansignhttpexchanges=yes | 593 | 4.0% |
| 9 | digicert.com; cansignhttpexchanges=yes | 591 | 3.9% |
| 10 | amazon.com | 432 | 2.9% |
| 11 | jprs.jp | 183 | 1.2% |
| 12 | amazonaws.com | 141 | 0.9% |
| 13 | awstrust.com | 107 | 0.7% |
| 14 | amazontrust.com | 106 | 0.7% |
| 15 | secomtrust.net | 74 | 0.5% |
本レポートは、DNSJPが独自に収集した.jpドメインのうち DNS 解決に成功したドメインを対象に、dns_records テーブル内の CAA レコード(rrtype='CAA')の有無でCAA設定を判定しています。
認証局の抽出は、CAAレコードのrdata文字列から issue / issuewild タグの引用符内の値を正規表現で取り出し、正規化した上でグループ化しています。例: 0 issue "letsencrypt.org" → letsencrypt.org。CAA順位は許可ドメイン数の多い順で、同一ドメインが複数CAを許可している場合はそれぞれにカウントされます。
iodef タグ (違反時の通知先) や accounturi / validationmethods パラメータは本集計対象外です。