質問

Advanced Search

Alert ID : ALERT2760

Last Modified : 11/16/2021

ドメイン名の認証ポリシーの変更について – 2021年

Description

弊社では、2021年末までにドメイン名の認証ポリシーについて、2点の変更を予定しています。
変更適用日以降のTLS/SSL証明書およびセキュアメールIDの発行、およびドメイン名の事前認証における申請ドメイン名の認証方法に影響がある可能性があります。
これらのポリシー変更は、新規、更新、および再発行すべてのTLS/SSL証明書およびセキュアメールIDの申請に適用されます。なお、既に発行済みの証明書への影響はありません。

 

以下2点のポリシー変更は、全てのパブリックTLS/SSL証明書およびセキュアメールIDのドメイン名認証に適用されます。

  1. ドメインの再認証は、397日ごとに必要となります。
    2021年9月28日~10月1日(JST)の期間に適用予定

  2. ファイル認証方式(DCV方式:HTTP Practical Demonstration)は、ワイルドカード証明書の申請にご利用いただけなくなります。
    また、ワイルドカード以外の証明書では、個々のFQDN/SANsごとにドメイン名の検証が必要となります。
    2021年11月17日 (JST)適用予定(※11/16更新)

  3. このポリシー変更は、すべてのパブリックTLS/SSL証明書およびセキュアメールIDに影響します。

 

Solution

本変更に関しまして、今すぐ何らかの対応をいただく必要はありません。
以下の点につきまして、ご認識置きください。

  • ドメイン名の検証サイクルについて
    ドメイン名の認証は、397日毎に期限切れとなります。証明書の更新、再発行を行うためには、ドメイン名の認証が有効である必要があります。認証の期限切れ前に再認証を行っていただくことで、証明書の更新、再発行をスムーズに行っていただくことが可能です。

  • 2021年9月28日(JST)までに、認証済みドメイン名の有効期間をご確認ください
    2021年9月28日から10月1日(JST)の間に本変更が適用されると、その時点で最終承認日から397日以上経過しているドメイン名の認証は期限切れとなり、再認証が必要となります。

  • DCV方式の切替について
    ワイルドカード証明書・ドメイン名に、これまでファイル認証方式をご利用いただいている場合、変更適用後は メール認証・DCVメール 認証方式または DNS認証 DNS TXT/DNS CNAME 等他の認証方式への切替をお願いします。

    ワイルドカード以外の証明書・ドメイン名について、ファイル認証方式をご利用いただく場合、関連するすべての FQDN/SANs に対し個別に検証が必要になります。これには、一部の証明書に自動で含まれる無料のSAN(www.)も含まれます。
    ファイル認証以外の認証方式に切替えていただくことで、ベースドメインでの検証を引き続きご利用いただけます。

 

お客様の証明書ライフサイクル管理への混乱を最小限に抑えるため、弊社では今後、本変更に関連する通知やナレッジベース等の作成に取り組んでまいります。
公開準備が整うまでの参考資料として、以下のページなどをご確認ください。
ドメイン名の利用権確認(DCV)方法

 

ドメイン認証履歴 再利用397日に関する経緯・概要

Mozilla および CA/B フォーラムは、ドメイン認証履歴の再利用ライフサイクルを 397 日に短縮します。
これにより、ドメイン名の事前認証を行うことで常に有効な状態のドメイン名を管理されているお客様においては、一年に一度ドメインの再検証が必要となります。
DigiCertでは、2021年9月28日~10月1日(JST)の期間に変更を適用予定です。

本件に関する補足情報:

  • CA/B Forum Ballot SC42: 398-day Re-use Period
  • Mozilla Root Store Policy 2.7.1 には、Mozillaの最新のドメイン認証の再利用期間に関するポリシーが掲載されています。2.1項の項目5.1を参照ください。
  • EV証明書発行のためのドメイン名は現在も一年に一度のサイクルで再認証が必要なため、本変更における影響はほぼありませんが、これまでの13か月から397日に変更になることにより、数日のずれが発生する可能性があります。

 

ファイル認証形式によるドメイン名の認証 (DCV)

CA/Bフォーラムは、ファイル認証方式(DCV方式:HTTP Practical Demonstration)に関する投票を行いました。この変更(2021年11月17日(JST) 適用予定)(※11/16更新)は、ファイル認証方式の利用に以下のような影響を与えます。

  • ワイルドカード証明書のドメイン名の検証に、この方式を使用することが禁止されます。
  • ワイルドカードではない証明書のドメイン名の検証に、この方式を使用する場合、すべてのFQDN/SANに対して個別にドメインの検証が要求されます。
    注:ファイル認証以外のEメールおよびDNSベースのDCV認証方式は影響を受けません。

 

ファイル認証方式に関する変更

証明書のFQDN/SAN

検証ファイルの設置場所

現在のドメイン検証

変更適用後のドメイン検証

example.com

example.com

検証可

検証可

subdomain.example.com

subdomain.example.com

検証可

検証可

subdomain.example.com

example.com

検証可

検証不可

*.example.com

example.com

検証可

検証不可

www.example.com

example.com

検証可

検証不可

www.sub.example.com

sub.example.com

検証可

検証不可

 

現在、複数のDCV認証方式におけるCA/B フォーラムの基本要件では、FQDN(例:subdomain2.subdomain.example.com)または、ワイルドカードドメイン(例:*.subdomain.example.com)のドメイン名検証は、そのベースドメイン(例:example.com)または他の上位ドメイン名レベル(例:subdomain.example.com)にて、検証可能と考えられています。

しかしながら、本ポリシー変更により、ファイル認証方式が使用される場合は各 FQDN/SAN に対し、個別の検証が必要となります。また、ワイルドカードのドメイン名は FQDN と見なされないため、ワイルドカード証明書におけるファイル認証方式の仕様は完全に禁止されます。

なお、本変更はEメールおよび DNS認証方式の検証には適用されません。E メールおよびDNS認証方式による検証は、従来どおりワイルドカード証明書に使用することができ、サブドメインおよびワイルドカード・ドメインの検証に、ベースドメイン・レベルまたはその他の上位ドメインで検証を実施することができます。

この変更は、2021年11月17日(JST)に適用予定です。(※11/16更新)