DigiCert KnowledgeBase - Technical Support-hero

Knowledge Base

[DCV] ドメイン名の認証 (DCV:Domain Control Validation)について

ソリューション番号: SO23241
最終更新日: 2025/01/16

[DCV] SSL/TLS証明書 / セキュアメールIDのドメイン名の認証(共通)

2024年11月14日(米国時間)、CA/Bフォーラムにて Ballot SC-80v3「ドメインの連絡先および依拠するDCVの方法を特定するためのWHOISの使用停止について」が可決されたことを受け、WHOIS掲載のEメールアドレス等連絡先情報を使用したドメイン検証プロセスを終了することとなりました。

メール認証方式のうち、WHOIS掲載のEメールを使用したドメイン名の承認・検証をされていたお客様には、できるだけ早く引き続き有効な他の認証方式のいずれかに切替えていただくことを推奨します。詳細は以下のご案内を確認してください。
WHOIS ベースのEメール によるドメイン名の利用権確認(DCV)方式のご利用及びサポート終了に関するご案内


以下の製品では、申請する証明書のコモンネームまたはEメールアドレスに含まれるドメイン名について、そのドメイン名を使用して証明書を取得することを当該ドメイン名の所有者が承認していることを確認します。

ドメイン名の利用権確認のプロセス(弊社では Domain Control Validation (DCV)  と呼びます)として、ドメイン名所有者による承認操作が必要です。

  • SSL/TLS証明書
  • S/MIME証明書(セキュアメールID)
  • 認証マーク証明書(VMC)
  • コモンマーク証明書(CMC)

 

■ドメイン名の認証(DCV)について

Q1. どのような方法でドメイン名の認証(DCV)が行われますか?
Q2. 証明書の申請の都度、ドメイン名の認証が必要になりますか?
Q3. ドメイン名の所有者が承認する必要があるのはなぜですか?
Q4. 申請時に選択したDCV認証方式を変更できますか?
Q5. ドメイン名の認証階層を変更して承認できますか?
Q6. ドメイン名の認証を証明書の申請前に行うことはできますか?
Q7. ドメイン名の認証を更新・再認証することはできますか?

 

Q1. どのような方法でドメイン名の認証(DCV)が行われますか?
A1.
CertCentralから証明書(オーダー)を申請する際、または新しいドメイン名の追加や登録済ドメイン名を再認証する際、以下いずれかのドメイン名の認証(DCV)方式を選択できます。各認証方法の詳細は、リンク先を確認してください。

DCV方式 ドメイン名の利用権確認プロセス
構築されたEメールアドレス宛のメール認証
(Verification Email)

CertCentralからの申請時にDCV方式として「Verification Email」を選択すると、以下5つの構築されたEメールアドレスをDCVメールの送信先として指定できます。受信したDCVメール本文にあるURLから承認ページにアクセスし、承認操作を行っていただきます。

admin@(コモンネームまたはベースドメイン名)
administrator@(コモンネームまたはベースドメイン名)
hostmaster@(コモンネームまたはベースドメイン名)
postmaster@(コモンネームまたはベースドメイン名)
webmaster@(コモンネームまたはベースドメイン名)

注: DCVメールを受信するには、送信先EメールアドレスドメインのDNSレコードに有効なMXレコードが必要です。
メール認証・DCVメールについての詳細は、以下のFAQも確認してください。
[DCV] SSL/TLSサーバ証明書のドメイン名の承認(メール認証・DCVメール) 

DNSに登録したEメールアドレス宛のメール認証
(DNS TXT record email contacts)

ドメイン名のDNS TXTレコードに連絡先Eメールアドレスを登録しておくことで、DNSに登録したEメールアドレスをDCVメールの送信先とすることができます。

【CertCentralアカウントの事前設定】この方法を利用するには、事前にアカウントの設定でDNSに登録した送信先情報宛のDCVメール送信を有効にしておく必要があります。 

  1. CertCentralの「設定」メニューから「ユーザー設定」を選択し、表示された画面下部の “詳細設定” をクリックします。
  2.  ドメイン名利用権の確認(DCV)項目にある「認証DCV電子メール送信先」で、使用するDCVメール送信先を選択します。「Org/Tech/Admin contacts from DNS TXT」を有効にすると、DNS TXTレコードに設定したEメールアドレスを送信先として選択できるようになります。

【DNS TXT record email contactsの設定】DNSレコードにDCVメール送信先Eメールアドレスを登録する手順については、以下のFAQを確認してください。
[DCV] SSL/TLSサーバ証明書のドメイン名の承認(メール認証・DCVメール) 

DNS TXT認証
(DNS TXT Record)

ドメイン名のDNS TXTレコードを編集してドメイン名の利用権確認(DCV)を完了させる手順です。

  1. CertCentralからの申請時にDCV方式として「DNS TXT Record」を選択を選択すると、認証用のトークン値(ランダムに生成される認証コード)が生成されます。
  2. 申請ドメインのDNS にTXTレコードを作成いただき、生成された認証トークンをTXT 値フィールドに追記してください。
  3. 弊社システムが認証トークンを検知すると、DCVが完了します。
    手順については、以下のFAQも確認してください。
    [DCV] SSL/TLSサーバ証明書のドメイン名の承認(DNS認証 DNS TXT/DNS CNAME)
DNS CNAME認証
(DNS CNAME Record)

ドメイン名のDNS TXTレコードを編集してドメイン名の利用権確認(DCV)を完了させる手順です。

  1. CertCentralからの申請時にDCV方式として「DNS CNAME Record」を選択を選択すると、認証用のトークン値(ランダムに生成される認証コード)が生成されます。
  2. 申請ドメイン名の指定箇所にCNAMEレコードを作成いただき、dcv.digicert.com を CNAME ターゲットとして生成された認証トークンを追記してください。
  3. 弊社システムが認証トークンを検知すると、DCVが完了します。手順については、以下のFAQも参照してください。
    [DCV] SSL/TLSサーバ証明書のドメイン名の承認(DNS認証 DNS TXT/DNS CNAME)
ファイル認証
(HTTP Practical Demonstration/HTTP practical demonstration with unique filename)

申請ドメイン名(申請FQDN/SANs全て)のウェブサイトの指定箇所に、認証ファイルをアップロードしてドメイン名の利用権確認(DCV)を完了させる手順です。

ファイル認証方式(DCV方式:HTTP Practical Demonstration および HTTP practical demonstration with unique filename)の場合、申請する証明書内の個々のFQDN/SANsごとにDCVを実施する必要があります。またワイルドカード証明書の申請にご利用いただけません。

HTTP Practical Demonstration

  1. CertCentralからの申請時にDCV方式として「HTTP Practical Demonstration」を選択を選択すると、認証用のトークン値(ランダムに生成される認証コード)が生成されます。
  2. 申請ドメイン名(申請FQDN/SANs全て)のウェブサイトの指定箇所に、生成された認証トークンを含む .txt ファイルをアップロードしてください。
  3.  弊社システムが認証トークンを検知すると、DCVが完了します。手順については、以下のFAQも確認してください。
    HTTP Practical Demonstration

HTTP practical demonstration with unique filename
認証用のトークン値をユニークなファイル名(ランダムに生成されるファイル名)で .txt ファイルとして作成し、申請ドメイン名(申請FQDN/SANs全て)のウェブサイトの指定箇所にアップロードいただくこともできます。

この方法を利用するには、事前にアカウントの設定でこの方式を有効にしておく必要があります。手順については、以下のFAQを確認してください。
HTTP practical demonstration with unique filename

WHOIS Eメールアドレス宛のメール認証
(Verification Email)

CertCentralからの申請時にDCV方式として「Verification Email」を選択し、DCVメール送信先としてWHOIS記載のEメールアドレスが検出された場合、DCVメールの送信先として指定できます。受信したDCVメール本文にあるURLから承認ページにアクセスし、承認操作を行っていただきます。

【ご確認ください】Ballot SC-80v3 が CA/Bフォーラムで可決されたことを受け、WHOIS掲載の連絡先情報を使用したドメイン検証プロセスの終了が決定しています。

DigiCertは、このドメイン検証プロセスを更新し、できるだけ早く他のサポートされているDCV方法のいずれかを使用することを推奨します。

電子メールDCV方式を引き続き使用する場合は、"構築されたEメールアドレス宛のメール認証" または "DNSに登録したEメールアドレス宛のメール認証" の利用を検討してください。詳細は、以下のご案内を確認してください。
WHOIS ベースのEメール によるドメイン名の利用権確認(DCV)方式のご利用及びサポート終了に関するご案内

 

Q2. 証明書の申請の都度、ドメイン名の認証が必要になりますか?
A2.

  • OVおよびEV SSL証明書の場合:
    "ドメイン名" および証明書の申請"組織(組織ID)" それぞれの認証履歴が CertCentralに保管されます。
    同一ドメイン名 および 同一組織(組織ID)の組合せで証明書の申請を受付けた場合、その時点で認証が有効(有効期間内)であれば、再承認が不要となります。
  • DV SSL証明書の場合:
    新規・更新・再発行等の申請種類に関わらず、証明書を発行するために毎回DCVへの承認操作が必要になります
    [DV] DV証明書(ドメイン認証型SSL証明書)とは

 

Q3. ドメイン名所有者が承認する必要があるのはなぜですか?
A3.
ドメイン名の認証(DCV)は、ドメイン名が意図しない証明書の申請に利用され、発行されることを防ぐために必要な確認手続きです。
ドメイン名の所有者に対し、証明書の申請団体が当該ドメイン名の使用権を持つことについて承認確認を行ったうえで証明書を発行します。

 

Q4. 申請時に選択したDCV認証方式を変更できますか?
A4.
CertCentralでは、以下の手順でDCV認証方式を変更できます。

  • 「オーダー」メニューから申請した証明書のDCVの認証方式を変更する場合:
    「証明書」→「オーダー」の一覧から該当のオーダー番号をクリックして詳細画面を開き、保留中となっている「ドメイン名の利用権を確認」項目のドメイン名をクリックするとDCV方式の変更画面が表示されます。
  • 「ドメイン」メニューから新しいドメイン名の認証申請をした場合:
    「証明書」→「ドメイン」の一覧から、未承認のドメイン名をクリックして詳細画面を開き、「DCV方式を変更」をクリックするとDCV方式の変更画面が表示されます。

※メール認証に関する注意事項
メール認証方式のうち、WHOIS掲載のEメールを使用したドメイン名の承認・検証方法は、2025 年 7 月 15 日(米国時間)以降使用停止となります。

メール認証に変更する場合、admin@、administrator@などの規定の5つのエイリアスと申請ドメイン名の組合せで構成されるEメールアドレスを送信先とするか、または、DNS TXTレコードにDCVメール送信先のEメールアドレスを登録いただき、DCVメールを送信する「DNS TXT record email contacts」の利用への切替を検討してください。

※ファイル認証に関する注意事項
DCV認証方式をファイル認証(HTTP Practical Demonstration)に変更する場合、証明書のコモンネームおよびSAN(追加されている場合)すべての階層でドメイン認証を完了させる必要があります。
コモンネームおよびSAN(追加されている場合)すべてのFQDN、階層でDCVを開始して承認操作を行ってください。
承認が必要な階層でDCVを開始できない場合は、弊社認証サポート(standard.validation.jp@digicert.com)までオーダー番号(またはアカウント番号)、ドメイン名を添えてお問い合わせください。

 

Q5. ドメイン名の認証階層を変更して承認できますか?
A5.
ドメイン名の所有者が、証明書申請組織による使用を承認する階層を指定する場合、オーダー申請時に認証階層を指定してドメイン認証を開始することができます。

証明書の申請画面から「ドメイン名利用権の確認(DCV)」→「DCV scope」で認証階層を指定することができます。

  • 認証のために正確なドメイン名を送信する : サブドメインを含むFQDNレベルに限定して承認する場合はこちらを選択します。
  • 認証のためにベースドメインを送信する : ベースドメインレベルで承認する場合はこちらを選択します。

※ファイル認証に関する注意事項
CA/ブラウザフォーラムにおける Baseline Requirement(Ballot SC45)改定により、ファイル認証方式(DCV方式:HTTP Practical Demonstration)でドメイン名の承認操作をする場合は、証明書内の個々のFQDN/SANsごとにドメイン名の検証が必要となります。詳細はドメイン名の認証ポリシーの変更について – 2021年をご確認ください。

 

Q6. ドメイン名の認証を証明書の申請前に行うことはできますか
A6.
証明書申請組織を登録後、以下の手順でドメイン名の事前認証を開始できます。

  1. CertCentralにログイン後、左側のメニューより「証明書」→「ドメイン」をクリックしてください。
  2. 「新しいドメイン」ボタンをクリックすると、ドメイン情報を入力する画面が表示されます。
  3. 「ドメイン名」にSSL証明書を取得するサイトのドメイン名を入力してください。続いて、「組織」のプルダウンから、証明書申請組織名を選択します。
  4. ドメイン名の利用権確認(DCV)方式を選択するメニューが表示されます。4つの方式から1つを選び、「認証申請」ボタンをクリックします。
  5. 選択した方式でドメイン名の利用権確認(DCV)のための認証が開始されます。各方式毎の承認操作が完了すると、ドメイン名の認証が完了します。

 

Q7. ドメイン名の認証を更新・再認証することはできますか
A7.

  1. CertCentralにログイン後、左側のメニューより「証明書」→「ドメイン」をクリックしてください。
  2. 更新期限間近(または期限切れ)のドメイン名をクリックします。
  3. ドメイン名の利用権確認(DCV)方式を選択するメニューが表示されます。4つの方式から1つを選び、「認証を申請」ボタンをクリックします。
      ※「認証を申請」ボタンがグレーアウトしてクリックできない場合は、「認証するドメインを申請し、ド    メインの再認証を再開します。」のチェックBOXをオンにするとアクティブに変わります。
  4. 選択した方式でドメイン名の利用権確認(DCV)のための認証が開始されます。各方式毎の承認操作が完了すると、ドメイン名の認証が完了します。