Knowledge Base

2026 年 2 月 24 日より、DigiCert は、CA/ブラウザ フォーラム MPIC 要件の次のフェーズに準拠するために、少なくとも 2 つの異なる地域インターネット レジストリ領域から少なくとも 3 つのリモート ネットワークの場所を使用して検証を実施するように MPIC を更新します。

背景

2025 年 3 月、DigiCert は、Multi-Perspective Issuance Corroboration (MPIC) の将来のフェーズに先立ち、CA Browser Forum の要件に従って、複数のネットワーク ロケーションからドメイン制御と CAA レコードの詳細の確認を始めました。

2025 年 9 月、DigiCert は MPIC の次のフェーズを実装し、少なくとも 2 つのリモート ネットワークの場所を使用して検証を実施することで、証明書の検証および発行プロセスを強化しました。

検証とは何ですか?

検証とは、ドメインが検証済みとみなされ、証明書が発行される前に、複数のネットワークの観点から、特定のドメインについて同じDNSレコードの詳細またはウェブサイトのファイルの内容が返される必要があることを意味します。MPICの要件は、ドメイン制御検証（DCV）と証明機関認証（CAA）の両方のチェックに適用されます。

検証を利用するメリット

セキュリティ脅威に対する保護が強化され、ネットワークを通過するデータの傍受や改ざんを不正に検知・ブロックできるようになります。お客様にとっては、セキュリティが強化され、ドメインの証明書を承認された当事者のみが取得できるという信頼性が向上します。

この記事で取り上げる項目 

• MPICプロセスの仕組み
  • ドメイン利用権確認（DCV）
  • DNS証明機関認証（CAA）
• 何をすればいいですか？
  • ユーザーエージェント  DigiCert DCV /1.1 と DigiCert DCV Bot/1.1 または IP アドレスを許可リストに追加する
  • DNSレコードアクセスの確認 – トラブルシューティング

MPIC プロセスはどのように機能しますか? 

最初のステップとして、DigiCertはプライマリーネットワークから標準的な検証チェックを実施します。このチェックはそれぞれ異なるネットワークや地域にある６つの拠点から行われるようになります。ドメイン名の利用権が確認され、CAAチェックをパスし、証明証が発行されるためには、プライマリネットワークで取得した詳細情報が６つの拠点のうち４つの拠点で検証される（内容が一致すると確認される）必要があります。

CA/ブラウザフォーラムでの確認が必要です。

ドメイン利用権確認 (DCV) 

MPICは、以下の一般的なドメイン利用権確認（DCV）方式に対して適用されます。

• DNS TXTレコード（DNS TXT record）
• DNS CNAMEレコード（DNS CNAME Record）
• DNS TXT 連絡先へのEメール（Email to DNS TXT contact）
• CAA 連絡先へのEメール（Email to CAA contact）
• HTTP実践デモンストレーション/ファイル認証（HTTP Practical Demonstration）
  • ドメインとIPアドレス（Domains and IP addresses）
• ユニークなファイル名を使用したHTTP実践デモンストレーション/ファイル認証（HTTP Practical Demonstration with a unique file name）
• ACME http-01
• ACME dns-01

 
上記の各DCV方式には、前述の検証要件が適用されます。プライマリネットワークの詳細を裏付けるネットワーク拠点の数が不十分な場合、ドメインの検証は失敗し、証明書は発行されません。 この厳重なチェック体制によって、正規の管理者である確認の精度を上げ、証明書取得の安全性を高めることができます。Domain control validation (DCV) methods 
 

DNS証明機関認証（CAA）チェック 

MPICは、CAAレコードのチェックにも適用されます。このチェックは、DigiCertが特定のドメインに対して証明書を発行する許可を持っているかを確認するために行うものです。DigiCertはTLS/SSL証明書やセキュアなメール（S/MIME）証明書を発行する前には、対象となるドメイン（またはメールドメイン）のDNS CAAリソースレコードを確認し、もし設定があればその内容に従う義務があります。DNS CAAリソースレコードのチェックについての詳細は、こちらをご覧ください。 
 

何をすればいいですか？ 

MPICへの準備として、使用しているDCV方式によっては、新しいプロセスが2025年9月1日に導入されるまでに、作業が必要になることがあります。  

DCV方式ごとに、現在の検証設定を確認してください。

• HTTP実践デモンストレーション/ファイル認証（HTTP Practical Demonstration）を利用している場合は、厳格なネットワーク制御など、複数の場所からの検証リクエストをブロックまたは遅延させる可能性がお客様のWebサーバー環境にないことを確認してください。下記の「ユーザーエージェント DigiCert DCV /1.1 とDigiCert DCV Bot/1.1 を許可リストに追加する」をご覧ください。

• DNS TXTレコードやDNS TXT連絡先へのEメールなど、DNSベースのDCV方式を利用している場合：お使いのDNSサーバーが、世界中の様々な場所からの問い合わせに対して、常に同じ正しい情報を返すか、一部の地域で応答に遅延や失敗がないかご確認ください。詳細は「DNSレコードアクセスの確認」をご覧ください。 
   

 ユーザーエージェント DigiCert DCV /1.1 と DigiCert DCV Bot/1.1 または IP アドレスを許可リストに追加する

 HTTP実践デモンストレーションのDCV方式と許可リストを使用して受信トラフィックを制御している場合は、対応が必要です。許可リストを更新することで、DigiCertはウェブサイト上の所定の場所にあるランダム値を含む.txtファイルにアクセスできるようになります。 

2025 年 9 月 1 日以降は、ユーザー エージェントまたは IP アドレスを許可リストに追加してください。 

• User Agent "DigiCert DCV /1.1"と“DigiCert DCV Bot/1.1” を許可リストに追加してください。 
  可能であれば、"DigiCert DCV /1.1"と”DigiCert DCV Bot/1.1” を許可リストに追加することを推奨します。　これらを追加することで、MPIC エージェントが使用するすべての IPアドレスが自動的に含まれるため、新しい IPアドレスが導入された場合でも確実に保護されます。 

  注記：2026年2月24日に、DigiCertは上記の別のユーザーエージェントを追加します。IPアドレスではなくユーザーエージェントを許可リストに追加する場合は、両方のユーザーエージェントを追加する必要があります。

• IPアドレスを許可リストに追加する場合は下記表内の MPICエージェントのIPアドレスを追加してください。 

DNS レコードへのアクセスを確認する

DCVと CAAレコードのチェックで問題が発生する可能性は低いですが、以下の方式を使用している場合、証明書の発行プロセスに中断が生じる可能性があります。 

• DNSベースのDCV方式: DNS TXTレコード（DNS TXT record）、DNS TXTレコード（DNS TXT record）、DNS TXT 連絡先へのEメール（Email to DNS TXT contact） 、CAA 連絡先へのEメール（Email to CAA contact） 

• CAAリソースレコード : 該当ドメインが証明書を発行可能とするCA（認証局）であるか確認します 

変更内容がすべての権威ネームサーバーに確実に伝播すること、また、TTL設定がタイムリーな更新を可能にしていることをご確認ください。 

• [権威ネームサーバーに関する詳細]はこちら をご確認ください。 

• [Time to Live（TTL）に関する詳細]はこちら ご確認ください。 

※英語のサイトとなりますのでご不便である場合にはブラウザの翻訳機能などをご活用ください。 

これらのチェックを行うことで、DigiCertがお客様のDNSレコード内にあるランダム値やEメール連絡先を確実に見つけ出し、CAAリソースレコードへのアクセスを確認できるようになります。その結果、弊社がお客様のドメインに対してTLSおよびS/MIME証明書を発行する権限が承認されることになります。
 

MPIC に関する問題のトラブルシューティング 

万が一問題が発生した場合は、お客様のドメインのDNS設定が複数の地域からアクセス可能であるか確認することを推奨します。設定を確認するためには、ご利用のDNSプロバイダーへの連絡が必要になる場合があります。