Knowledge Base

 

WHOIS を使用したドメイン連絡先の特定方法は終了となる可能性があります。

重要:　新しい情報が入手できた段階で、本ページを更新致します。定期的に最新情報の確認をお願いします。

 

WHOIS を使用したドメイン連絡先の特定を禁止する投票

最近、不正な WHOIS サーバーにより、WatchTowr Labs の研究者が WHOIS を悪用してTLS 証明書を不正に取得するという事象が確認されました。この出来事を受けて Googleはドメイン連絡先の特定に WHOIS の使用を廃止する旨の提案をCA/ブラウザ フォーラム*に投票する予定です。

Google の最新の投票案として、2025 年 1 月 15 日から次の禁止事項が含まれます:

·       認証局 (CA) が WHOIS を使用してドメイン連絡先を特定することを禁止。

·       認証局 (CA) がWHOISのドメイン連絡先を情報源としたドメイン検証を再利用することを禁止。

 

DigiCert は、現段階でGoogleの上記提案をサポートしていません。ICANN から提供されるフィードバックを反映していないこと、Amazon が提案する合理的なタイムラインがまだ組み込まれていないためです。またDigiCert は、お客様に別の検証インフラストラクチャへの移行と更新に十分な時間を提供しつつ、 WHOIS プロトコルからより近代的な RDAP プロトコルへの移行を促進することを強く支持しています。

タイムラインについては、柔軟に対応する可能性があるとGoogleが発言したことを評価しますが、　今回の提案はいずれかの時点で可決される可能性が高いため、お客様にはご認識とご準備をしていただく必要があります。

 

*注: デジタル トラストでは、証明機関/ブラウザ フォーラム (CA/B フォーラム) が、TLS、コード署名、S/MIME 証明書などの公的に信頼されているデジタル証明書の発行と管理に関する基本要件を記述しています。要件の適用は、ブラウザのルート プログラムによって処理されます。

 

どのような影響がありますか?

提案が投票で可決された場合、2025 年 1 月 15 日午前9時（日本時間） 以降、WHOIS ベースのEメールによる ドメイン名の利用権確認(DCV)方式を使用したドメインの承認ができなくなります。

さらに、2025 年 1 月 15 日以降、DigiCert をはじめとする 認証局 (CA)は、WHOIS ベースのＥメールで承認済みとしたドメイン検証を再利用して証明書を再発行または新規および更新をすることができなくなり、別の DCV 方式を使用してドメインを再検証する必要があります。

必要な準備等を教えてください。

これまでWHOISベースのEメールによるドメイン名の利用権確認(DCV)方式をご利用のお客様には、2025 年 1 月 15 日以降は他のDCV 方式に変更いただく必要があります。
構築されたEメール検証（admin、administrator、webmaster、hostmaster、postmaster の5つのエイリアス宛)またはDNS TXT record email contacts へのEメール検証などによるEメールDCV方式は、引き続きご利用いただけます。

 

DigiCert の推奨事項

業界は、ドメインの連絡先を識別するために WHOIS を使用しないようにすることを目指しています。そのため、DigiCert は、WHOIS ベースのEメール DCV 方式を使用しているユーザーに、ドメイン検証プロセスを更新して、できるだけ早く他のサポートされている DCV 方式のいずれかを使用するように推奨しています。

 

DigiCert は現在、次の DCV 方法をサポートしています:

Eメール：

o   構築されたEメール

DigiCert は、検証ドメインの 5 つの構築さ　　　　れたEメール アドレス (admin、administrator、webmaster、hostmaster、postmaster @[domain_name]) 宛にDCVメールを送信します。

 

o   DNS TXT record email contacts

認証するドメイン名のDNS TXTレコードに事前に連絡先Eメールアドレスを登録いただくことで、レコードにあるEメールアドレスをDCVメールの送信先とすることができます。

DNS TXT record email contacts について

 

DNS CNAME　

DigiCert が生成したランダムな値を CNAME レコードとしてドメインの DNS に追加します。次に、dcv.digicert.com を CNAME ターゲットとして追加します。

 

DNS TXT

DigiCert が生成したランダムな値を TXT レコードとしてドメインの DNS に追加します。

 

HTTP 実用デモンストレーション（ファイル認証）

DigiCert が生成したランダムな値を含むファイルを、Web サイトの所定の場所にホストします。

例: http://{domain-name}/.well-known/pki-validation/fileauth.txt

 

一意のファイル名を使用した HTTP 実用デモンストレーション

DigiCert が生成したランダムな値を含むランダムなファイル名のファイルを、Web サイトの所定の場所にホストします。

例 : http://{domain-name}/.well-known/pki-validation/{unique-filename}.txt

 

ヘルプが必要ですか?

ドメイン連絡先の識別に WHOIS を使用することを禁止するこの投票について質問や懸念がある場合は、アカウント マネージャーまたは DigiCert サポートまでお問い合わせください。

 

References

• SSL/TLSサーバ証明書のドメイン名の承認（DCVメール）
• SSL/TLSサーバ証明書のドメイン名の承認（ファイル認証）
•  SSL/TLSサーバ証明書のドメイン名の承認（DNS認証 DNS TXT/DNS CNAME）
• Rogue WHOIS server gives researcher superpowers no one should ever have
• Welcome to the CA/Browser Forum
• Supported DCV methods for validating the domains