A.
回答
ドメイン使用権確認で追加した DNS レコード(CNAME / TXT)は、証明書発行が完了した後は削除して問題ありません。DNS から削除しても証明書の動作には一切影響しません。
✅ 結論
- 証明書発行完了後は 削除して OK
- 削除しても証明書の動作には影響なし
- むしろ DNS 整理の観点では削除推奨
📋 DNS 認証レコードの役割
DNS 認証(DNS-01 認証)は、ドメインの所有権を証明する方式の 1 つです。指定された CNAME または TXT レコードを DNS に設定することで、「このドメインを管理している = DNS レコードを追加できる」と認証局が確認します。
| タイミング | レコードの役割 |
|---|---|
| 申請時〜認証完了まで | 認証局が DNS クエリで参照してドメイン所有権を確認 |
| 証明書発行後 | 不要(削除して OK) |
典型的な認証レコードの例
# CNAME 認証の例
_acme-challenge.example.com. IN CNAME validation.ca.com.
# TXT 認証の例
_dnsauth.example.com. IN TXT "xxxxxxxxxxxxxxxx"
# ACME プロトコルの場合
_acme-challenge.example.com. IN TXT "yyyyyyyyyyyyyyyy"🔒 削除を推奨する理由
必須ではありませんが、以下の理由から削除をおすすめします。
- DNS の整理 ─ 不要なレコードを残さず、運用ミスを防ぐ
- セキュリティ衛生 ─ 認証レコードから「過去にこのドメインで証明書発行した」情報が読み取れる可能性
- レコード数制限の回避 ─ DNS サービスによってはレコード数に上限がある
- 監査対応 ─ DNS 構成の説明資料を作る際、不要レコードがないほうがスッキリ
🤖 ACME 自動更新の場合
ACME プロトコル(DNS-01 認証)による自動更新では、DNS レコードの追加・削除も自動で行われます。クライアントが DNS API 経由でレコードを生成し、認証完了後に自動削除するため、手動での DNS 操作は一切不要です。
| 運用方式 | DNS レコードの管理 |
|---|---|
| 手動運用 | 申請時に手動追加・発行後に手動削除 |
| ACME 自動更新 | クライアントが DNS API 経由で全自動管理 |
主な DNS API 対応サービス
ACME クライアント(acme.sh など)は、以下のような DNS サービスの API に対応しています。
- Cloudflare / Amazon Route 53 / Google Cloud DNS
- さくらインターネット / お名前.com / Value Domain
- その他、100 以上の DNS サービスに対応
47 日ルール時代に向けて、DNS レコード管理も含めて完全自動化したい場合は、ACME 自動更新のご検討をおすすめします。
⚠️ ワイルドカード証明書をご利用の方への注意
💡 ワイルドカード証明書は再発行時にも DNS 認証が必要
ワイルドカード証明書(
ワイルドカード証明書(
*.example.com)は、必ず DNS 認証で発行されます。再発行のたびに DNS レコード追加 → 認証完了 → 削除という作業が発生するため、頻度が増える 47 日ルール時代には ACME 自動更新が特に有効です。
📚 関連ページ
- 証明書再発行ガイド — DNS 認証の手順詳細
- ACME 自動更新ガイド — DNS レコード管理も自動化
- ACME クライアントの選び方 — DNS API 対応クライアント
- お問い合わせフォーム