CA/Browser Forum(証明書の業界標準を定める団体)の規定に基づき、SSL/TLS証明書のドメイン使用権確認(DCV:Domain Control Validation)の方法が変更されました。従来利用できた「Whois公開連絡先のメールアドレス」を使ったドメイン使用権確認は、現在ご利用いただけません。ここでは、変更の背景と、現在利用できる確認方法を詳しくご説明します。
ドメイン使用権確認(DCV)とは
SSL/TLS証明書を発行する前に、認証局は「申請者が、本当にそのドメインの使用権を持っているか」を確認します。これがドメイン使用権確認(DCV)です。第三者が他人のドメインの証明書を勝手に取得できないようにするための、重要な手続きです。
何が変わったのか
従来は、ドメインのWhois情報に公開されている連絡先メールアドレス宛に確認メールを送る方法が利用できました。しかし、Whois情報の取り扱いに関する世界的なプライバシー保護の流れと、CA/Browser Forumの規定変更により、Whois公開連絡先メールアドレスを使ったドメイン使用権確認は廃止されました。
現在利用できるドメイン使用権確認の方法
Whois公開連絡先メールアドレスに代わり、以下の方法をご利用いただけます。いずれも、ドメインの使用権を確実に確認できる方法です。
承認メールによる確認
ドメインに対して、あらかじめ定められた管理者用アドレス(admin@、administrator@、webmaster@、hostmaster@、postmaster@ のいずれか)宛に確認メールが送信されます。そのメール内のURLにアクセスすることで、ドメイン使用権を承認します。
DNSレコードによる確認
認証局から指定された文字列を、ドメインのDNSにTXTレコードとして設定する方法です。DNSを管理できる権限があれば確実に確認でき、メールの受信環境に依存しません。
ファイルによる確認
認証局から指定されたファイルを、Webサーバーの所定の場所にアップロードする方法です。サーバーにファイルを設置できる権限があれば利用できます。
ACME・APIをご利用の場合
ACME自動更新やAPIを利用している場合、これらのドメイン使用権確認は自動で処理されます。証明書の更新のたびに手作業で確認を行う必要はありません。証明書の有効期間が短縮され、更新頻度が増えていく中で、ドメイン使用権確認を自動化できることは、大きな利点になります。手動での運用が負担になってきた場合は、ACMEへの移行をご検討ください。