2021 年 06 月 21 日
ドメイン名使用権確認方法の1つ「Web 更新(ファイル認証)」の 審査方法の変更について
Web 更新(ファイル認証)は FQDN ごとの確認に変わります
パブリックなサーバー証明書の要件を定める業界団体 CA/Browser フォーラムにおいて、Web 更新(ファイル認証) によるドメイン名使用権確認の方法について見直しが行われた結果、2021 年 12 月 1 日より FQDN ごとへの確認方法へと変更されることになりました。
本変更は、2021 年 12 月 1 日以降に発行されるサーバー証明書の審査に適用されます。
変更後も従来の Web 更新(ファイル認証)で発行した証明書への影響はありません。
Web 更新(ファイル認証)は、証明書を用いる予定のドメイン名や FQDN の Web ページに認証局が指定するファイルを配置することで、当該ドメイン名や FQDN の使用権を持つことを認証局が確認する審査方法の一つです。
従来は、ドメイン名「example.com」にファイルを配置することで、サブドメインがついた異なる FQDN(*.example.com、www.example.com や sub.example.com など)についても使用権を確認することができました。
しかし、特定の Web ページにファイルを配置する権限がある場合でも、他の FQDN やドメイン名全体の権限を持つとは限らず、本来のドメイン名の管理者が把握しないところで証明書が発行されてしまうリスクを含んでいるとして、FQDN ごとの確認へと変更されることになりました。
例)「www.sub.example.com」の証明書を発行する場合
Web 更新(ファイル認証)のURL | 従来 | 2021 年 12 月 1 日以降 |
---|---|---|
www.sub.example.com (申請 FQDN と完全一致) |
〇 | 〇 |
sub.example.com (申請 FQDN から www. を削除した値) |
〇 | × |
example.com (申請 FQDN に含まれるベースドメイン名) |
〇 | × |
ワイルドカード証明書の場合は特に要注意
ワイルドカード証明書 ※1 については、Web 更新(ファイル認証)での確認が廃止されるため、その他の方法(メール、電話、DNS)により確認が必要になります。
例)「*.example.com」(ワイルドカード証明書)でお申し込みの場合
Web 更新(ファイル認証)のURL | 従来 | 2021 年 12 月 1 日以降 |
---|---|---|
example.com | 〇 | × その他の審査方法 (メール/電話/DNS)のみ |
本変更による影響について
- ワイルドカード証明書のお申し込みでは、Web 更新(ファイル認証)以外の確認方法(メール、電話、DNS)をご選択ください。
- www オプション ※2 を利用した申請で Web 更新(ファイル認証)を選択する場合、「www.」を追加/削除した両方の FQDN での確認が必要になります。
- マルチドメイン証明書の追加 FQDN についても、それぞれの FQDN で Web 更新(ファイル認証)が必要になります。
- FQDN ごとではなく、ドメイン名全体の承認を行いたい場合は、メール、電話、または DNS での確認方法をご選択ください。
- ※1
- ワイルドカード証明書とは、FQDN に 「*」(アスタリスク)を含むドメイン名 を使用したサーバー証明書です。詳しくは、ブログ記事「進化したワイルドカード証明書、SureServer Prime ワイルドカード」をご覧ください。
- ※2
- www オプションとは、ご申請のコモンネームにくわえて、コモンネームの先頭に「www.」を追加/削除した(ワイルドカード証明書の場合は 「*.」 を削除した)FQDN も利用できるサービスです。詳しくは、www オプションをご覧ください。