DNSレコードにCAAレコードを登録することで、
登録したドメイン名に対してSSL証明書を発行できる認証局を指定することができます。
ブラウザフォーラムにて2017年9月8日以降、SSL証明書発行時に
認証局によるCAA レコードの確認が必須化されました。
何もレコードが登録されていない場合は、SSL証明書が発行されます。
正しく登録することで、第三者にSSL証明書を発行することを防ぐことができますが、
2022年7月の時点もあまり普及しておりませんので、
SSL証明書発行時にエラーになる場合にCAAレコードを確認頂くことが多いかもしれません。
例えばLet’s Encryptのみに発行許可を設定する場合は下記のレコードになります。
複数の認証局に許可する場合は複数のレコードを登録する形になります。
ドメイン名 0 issue "letsencrypt.org"
CAAレコードを確認する場合、
dig、nslookupコマンド等ではうまく参照できない場合がありますので、
Google Admin Toolbox等でCAAレコードを確認ください。
https://toolbox.googleapps.com/apps/dig/#CAA/
