山城淑敬.jp

Since:2002.05.02 連絡先: shukukei@mojizuri.jp

Bloggerがカスタムドメインに対して発行するSSL証明書がLet's EncryptからGoogle Trust Servicesに替わっていた。

Bloggerで新たにウェブサイト(カスタムドメイン)のを立ち上げ作業を行っていたところ、SSL証明書の発行でエラーが発生したのでメモ。


CNAMEレコードを設定してから「HTTPSの使用」を有効にすると、しばらくの間は以下のメッセージが表示されるのはいつも通りですが・・・

f:id:shukukei:20200907215900p:plain

『[HTTPS の使用] を有効にする手続きを行っています。しばらくしてからもう一度ご確認ください。』


今回は、以下のエラーメッセージが表示されました。

f:id:shukukei:20200907215928p:plain

『明示的な DNS CAA レコードによって発行が禁止されたため、HTTPS SSL 証明書を処理できませんでした。』

Bloggerのヘルプサイトを英語版で検索してみたところ、CAAレコードにはletsencrypt.orgを設定するように記載があります。

f:id:shukukei:20200907220009p:plain


digコマンドにTYPE257を指定してCAAレコードを確認したところ、ちゃんとletsencrypt.orgが設定出来ていました。

f:id:shukukei:20200907220039p:plain


さて。
行き詰まってしまったので、一度CAAレコードを全て削除してSSL証明書を発行させてみたところ・・・GTS CA 1D2,Google Trust Services - GlobalSign Root CA-R2という、何処かで聞いたことのあるような名前が入っていました。
(後になってから、iodefを設定しておけば良かったかな、と思いました。)

f:id:shukukei:20200907220144p:plain


そう、数年前にニュースになっていましたね。

f:id:shukukei:20200907220217p:plain


そこでGoogle Trust Servicesのウェブサイトを確認したところ、CAAレコードには“pki.goog”を指定すれば良いとわかりました。

f:id:shukukei:20200907220247p:plain


CAAレコードにpki.googを設定したところ、今度はエラーが出ることなくSSL証明書が発行されました。
さて、解決はしましたが・・・Bloggerのドキュメントには具体的な記載を見つけられなかったので、本当にこれで良かったのかモヤモヤする結果になりました。

今後はGoogle Trust Services発行の証明書に切り替わって行くのでしょうか?
もしも、仮に、既にLet's Encryptで発行されているウェブサイトも切り替えの対象だとすると、CAAレコードの対応をしておかないと新しい証明書が発行出来ずに期限切れになってしまうのでは?と、少し心配です。(まぁ、事前告知なく切り替えることはしないと思いますが・・・もしかして、私は告知を読み落としてしまったのでしょうか?)

ところで。
このタイミングで既存のサイトの方もLet's Encrypt発行の証明書からGoogle Trust Services発行の証明書に切り替えておけないかなー?と思い、試しに「HTTPSの使用」を“いいえ”に変更して、再び“はい”にしてみたところ・・・Google Trust Services発行の証明書に切り替わりました。

証明書の有効期間は三ヵ月のようですので、Let's Encryptと同じくらいですね。

f:id:shukukei:20200907220317p:plain