Knowledge Base

詳細

2026年2月24日より、DigiCertはドメイン利用権確認 (DCV) および DNS認証局承認 (CAA) 実行時に、DNSSEC (Domain Name System Security Extensions）が存在する場合、その検証を開始します。この変更は、証明書発行前にドメイン利用権確認(DCV)および／またはCAAチェックを必要とするすべての製品に影響します。

• Public TLS certificates (DV, OV, and EV)
• X9 PKI for TLS certificate
• EU Qualified Website Authentication Certificate (QWAC)
• EU Qualified Website Authentication Certificate PSD2
• PKIoverheid Private Services Server certificate
• Secure Email (S/MIME) certificates

当社の DNS resolvers は、DNSSEC 構成に関連付けられた署名を検証し、検証が失敗した場合は発行を停止します。

このページで取り上げる項目

• DigiCert がDNSSEC検証実施を行う理由。
  • DNSSEC を実施する利点
• 何をすればいいですか?
  • 2026年2月24日までにDNSSEC設定を確認してください
• 参考資料
• サポート

DigiCert がDNSSEC検証実施を行う理由。

DigiCertは、CA/ブラウザフォーラムの投票SC-085v2「CAAおよびDCVルックアップにDNSSEC（存在する場合）の検証を必須とする」に準拠するため、ドメイン利用権確認(DCV)およびDNS CAAチェックの実行時にDNSSECの検証を開始します。この投票では、ドメイン利用権確認(DCV)、CAAチェックの合格、そして証明書の発行のために、認証局（CA）はDNSSECが存在する場合、検証を行う必要があります。
投票SC-085v2の詳細については、こちらをご覧ください。この投票により、認証局（CA）はDNSSECの設定ミスを無視できなくなります。
 

DNSSEC を実施する利点

Purpose of Ballot に記載されているように、「DNSSECは、DNSリソースレコードの暗号検証を可能にし、それらが真正であり改ざんされていないことを保証することで、DNSにオプションのセキュリティレイヤーを追加します。ドメインがDNSSECを適切に設定すれば、DNSSEC検証に
よって、CAに対するDNSスプーフィングや傍受攻撃に関連するリスクを大幅に軽減できます[1]。さらに、CAによるDNSSEC検証は、
ドメイン所有者がネットワークの敵対者に対してドメイン制御検証プロセスの証明可能なセキュリティを実現するための選択肢を提供します[1][2]。」
 

何をすればいいですか?

2026 年 2 月 24 日までに、証明書ドメインの DNSSEC 構成を特定します。その後、必要な操作は、これらのドメインに DNSSEC を使用しているかどうかによって異なります。

• 証明書内のドメインにDNSSECが使用されていないことを確認しました。
  この先のステップは必要はありません。
• 証明書内のドメインに対して DNSSEC を使用しているか、使用する予定であることを確認しました。
  
  DNSSECを設定済みで設定ミスがある場合、ドメイン利用権確認(DCV)中にDigiCertのDNSSECチェックが失敗する可能性もあります。ドメインにCAAレコードがある場合は、CAAチェックが失敗する可能性があります。DNSSECの設定ミスにより、証明書の発行が妨げられる可能性があります。

2026年2月24日までにDNSSEC設定を確認してください

DigiCert ではDNSSEC 検証の失敗を防ぐため、2026 年 2 月 24 日までに 証明書リクエストで使用する予定のドメインに対してDNSSEC が適切に設定されていることをDNSViz などのツールを使用して確認することを推奨しています。

参考資料

• Ballot SC-085v2: Require Validation of DNSSEC (when present) for CAA and DCV Lookups
• Enable DNSSEC to Prevent Security Issues

お問合せ

ご質問やご不明な点がございましたら、アカウント マネージャーまたは DigiCert サポートにお問い合わせください。