いつもはてなブログをご利用いただきありがとうございます。
現在はてなブログでは独自ドメインブログへの Amazon CloudFront の導入を進めております。
それに伴い、独自ドメインを設定する際に以下の2点について設定変更および注意が必要となります。
- Amazon CloudFront ディストリビューションを使用されている、または過去に使用されていた場合
- CAAレコードを設定されている場合
既に独自ドメインを設定済みのブログでこれらの条件に当てはまるユーザー様には登録メールアドレス宛にご連絡を差し上げますので、1月31日までに対応をお願いいたします。
Amazon CloudFront ディストリビューションを使用されている、または過去に使用されていた場合
独自ドメインに使用されている、または使用予定のドメインが既に Amazon CloudFront ディストリビューションの代替ドメイン名 (CNAME) として設定されている場合、独自ドメイン設定が正常に完了しない場合があります。
該当するディストリビューションがある場合は、独自ドメインの設定を行う前にディストリビューションを無効化または削除していただくか、代替ドメイン名の設定の削除をお願いいたします。
※過去に使用されていた、または検証用途などで作成されたままDNSの設定がされておらず実際に使用されていないものについても対象となりますのでご注意ください。
設定方法については AWS のデベロッパーガイドなどをご参照ください。
CAAレコードを設定されている場合
独自ドメインやその親ドメインの DNS に CAA レコードを設定して証明書の発行を許可する認証局を制限されている場合は、従来の `letsencrypt.org` に加えて新たに Amazon ACM のドメインのレコードを追加で設定していただく必要があります。
設定例:
blog.example.com. 3600 IN CAA 0 issue "letsencrypt.org" blog.example.com. 3600 IN CAA 0 issue "amazon.com"
CAA レコードの検証に失敗すると証明書の発行および更新ができなくなるのでご注意ください。
詳しくは、ヘルプ「はてなブログを独自ドメインで利用する」の「CAAレコードの設定について」をご参照ください。
追記 2026/1/19
独自ドメインのDNS設定において CAA レコードを設定されている場合の対応についてお知らせしておりましたが、この度、CNAME レコードの参照先である hatenablog.com.側にて、適切な CAA レコードの設定を行いました。
これにより、CNAME レコード(サブドメイン)で独自ドメインを利用されているユーザー様におかれましては、ご自身での CAA レコードの設定や変更が不要となりました。
本件の対応として追加された CAA レコードにつきましては、そのまま残していただいてもブログの表示や証明書発行に影響はありませんが、削除していただいても大丈夫です。
当初の案内において、対象となるユーザー様に設定の確認や変更をお願いしておりましたことをお詫びして訂正いたします。
技術的な背景
認証局が証明書を発行する際に行う CAA レコードのチェックのプロセスでは、対象ドメインにレコードが存在しない場合、親ドメインに向かって順に CAA レコードの探索を行います。この際 CNAME レコードが設定されているドメインについては参照先のドメインの CAA レコードを確認します (参考: RFC8659 Section 3)
今回 CNAME レコードの設定された独自ドメインの親ドメインにおいても CNAME レコードが設定されているようなケースにおいて、その参照先のドメインに設定されている CAA レコードの値が意図せず使用されており、ユーザー様による対応が困難であることが分かったため、これを回避するために hatenablog.com. に CAA レコードを設定することにいたしました。
これにより、親ドメイン側の設定に依存せず適切な証明書発行が可能となります。
