Knowledge Base

詳細

2026年2月24日より、DigiCertはドメイン利用権確認 (DCV) および DNS認証局承認 (CAA) 実行時に、DNSSEC (Domain Name System Security Extensions）が存在する場合、その検証を開始します。この変更は、証明書発行前にドメイン利用権確認(DCV)および／またはCAAチェックを必要とするすべての製品に影響します。

• Public TLS certificates (DV, OV, and EV)
• X9 PKI for TLS certificate
• EU Qualified Website Authentication Certificate (QWAC)
• EU Qualified Website Authentication Certificate PSD2
• PKIoverheid Private Services Server certificate
• Secure Email (S/MIME) certificates

当社の DNS resolvers は、DNSSEC 構成に関連付けられた署名を検証し、検証が失敗した場合は発行を停止します。

重要：DNSSECの使用は必須ではありません。DigiCertが上記の証明書を発行する際にDNSSECを設定する必要はありません。この情報は、DNSSECを使用している、または使用を計画している方にのみ適用されます。

DigiCert がDNSSEC検証実施を行う理由。

DigiCertは、CA/ブラウザフォーラムの投票SC-085v2「CAAおよびDCVルックアップにDNSSEC（存在する場合）の検証を必須とする」に準拠するため、ドメイン利用権確認(DCV)およびDNS CAAチェックの実行時にDNSSECの検証を開始します。この投票では、ドメイン利用権確認(DCV)、CAAチェックの合格、そして証明書の発行のために、認証局（CA）はDNSSECが存在する場合、検証を行う必要があります。
投票SC-085v2の詳細については、こちらをご覧ください。この投票により、認証局（CA）はDNSSECの設定ミスを無視できなくなります。
 

DNSSEC を実施する利点

Purpose of Ballot に記載されているように、「DNSSECは、DNSリソースレコードの暗号検証を可能にし、それらが真正であり改ざんされていないことを保証することで、DNSにオプションのセキュリティレイヤーを追加します。ドメインがDNSSECを適切に設定すれば、DNSSEC検証に
よって、CAに対するDNSスプーフィングや傍受攻撃に関連するリスクを大幅に軽減できます[1]。さらに、CAによるDNSSEC検証は、
ドメイン所有者がネットワークの敵対者に対してドメイン制御検証プロセスの証明可能なセキュリティを実現するための選択肢を提供します[1][2]。」
 

何をすればいいですか?

• DNSSEC 設定は必須ではありませんが　以下の点にご注意ください。
  DNSSECを設定済みで設定ミスがある場合、ドメイン利用権確認(DCV)中にDigiCertのDNSSECチェックが失敗する可能性もあります。
  また、ドメインにCAAレコードがある場合は、CAAチェックが失敗する可能性があります。DNSSECの設定ミスにより、証明書の発行が妨げられる可能性があります。

DigiCert では、2026 年 2 月 24 日までに DNSSEC が適切に設定されていることを確認することを推奨しています。この変更の展開後、DNSSEC チェックによって証明書の発行がブロックされた場合は、問題を解決できるように準備されることを推奨しています。
 

参考資料

• Ballot SC-085v2: Require Validation of DNSSEC (when present) for CAA and DCV Lookups
• Enable DNSSEC to Prevent Security Issues