- お問い合わせ
-
choose your language
-
Knowledge Base
トラブルシューティング / MPIC によるドメイン認証(DCV)が失敗する場合
ドメイン認証(DCV)の際、DigiCertはMPIC(Multi-Perspective Issuance Corroboration)エージェントを使用し、複数のグローバル拠点から確認を行います。環境によっては、これらの検証が失敗したり、拠点ごとに異なる結果となる場合があります。。
下記に記載されたような事象が起こる可能性があります。:
- ドメイン認証に通常より時間がかかる、またはタイムアウトする
- 認証エラーにより証明書発行が遅延する、または失敗する
- 同じ設定でも成功したり失敗したりする
- 検証の実施タイミングや確認元によって結果が一致しない
主な原因について
最も多い原因は、ファイアウォールのルール、DNSレート制限、またはDDoS攻撃対策ポリシー等によって、DigiCertのグローバル認証エージェントからのクエリが意図せずブロックまたは制限されていることです。
認証エラーを解決するためのチェックリスト
下記の項目については、ご利用のネットワークプロバイダーまたはDNSプロバイダーにご確認ください。
- ファイアウォールおよび許可設定(アローリスト)を確認
- ファイアウォールが、DigiCert MPICエージェントのIPアドレスからの UDP / TCP 通信が許可されているかご確認ください。
- 公式 IPアドレスリストは MPIC agent IP addresses をご参照ください。
- 推奨事項:可能であれば、特定のIPアドレスのみを許可する方法ではなく、ユーザーエージェントDigiCert DCV/1.1およびDigiCert DCV Bot/1.1を許可対象としてアローリストに追加してください。これにより、今後追加されるIPアドレスも自動的に含まれるため対応しやすくなります。
- UDP / TCP の 53 番ポート がすべての送信に対して公開されているかチェックする
- DNSは世界中からアクセス可能である必要があります。UDPポートとTCP の53番ポートの両方が、ローカルまたは地域的なトラフィックだけでなく、グローバルなすべての送信元に対して開放されていることを確認してください。
- 特にTCP 53番ポートは、DNSSECや大規模なDNS応答(CAAレコードなど)にとって重要です。
- DDoS 対策 や DNS レートの制限を確認する
- 同時セッション制限:一部のDNSプロバイダは、単一クライアントからの同時接続数を制限している場合があります。この制限を25から200に引き上げたことで、認証の失敗が解消された事例があります。
- 1秒あたりのクエリ数(QPS)の制限:DigiCertの認証エージェントの動作を制限する可能性のある、IPアドレスごとのクエリ制限を確認してください。
- 地域制限(Geo-blocking):DNSが特定の国や地域からのDNS問い合わせとなるクエリをブロックしていないか確認してください。DigiCertは世界各地から認証を行っています。
- DNS サービスの設定を確認する
- Akamai、Cloudflare、AWS Route53、Azure DNSなどのマネージド DNS サービスを利用している場合は、各サービスのサポートに問い合わせて以下を確認してください。
- クライアント IP あたりの同時接続数上限が少なくとも 200 であること。
- 地域ごとに非対称なレート制限が設定されていないこと。
- 「DNSファイアウォール」や「セキュリティ」機能により、正当な認証アクセスをブロックしていないこと。
- Akamai、Cloudflare、AWS Route53、Azure DNSなどのマネージド DNS サービスを利用している場合は、各サービスのサポートに問い合わせて以下を確認してください。
- DNS サーバーログを確認する
- DNS サーバーのログ上で、DigiCert の IP レンジからの問い合わせに対し、以下のの応答が発生していないかご確認ください。
- Dropped query
- REFUSED
- SERVFAIL
- 応答遅延やタイムアウトの傾向がある場合は、DNS 側のレート制限が影響している可能性があります。
- DNS サーバーのログ上で、DigiCert の IP レンジからの問い合わせに対し、以下のの応答が発生していないかご確認ください。
参考事例:あるお客様では、マネージド DNS サービスにおける同時セッション数の上限が 25 に設定されていました。DNS プロバイダーと調整してこの上限を 200 に引き上げたところ、すべての認証チェックが正常に完了し、断続的に発生していた失敗やタイムアウトも解消しました。
認証結果の不一致について:認証が成功したり失敗したりする場合や「一部のエージェントは成功、他のエージェントは失敗」となる場合は、地域的なレート制限またはGeo-blocking が原因であることが一般的です。DigiCertの認証エージェントは世界中の複数の地域に配置されているため、特定の地域からのDNSトラフィックを制限している場合、一部の認証確認のみ成功することがあります。
チェック項目まとめ
| 確認項目 | チェックする内容 |
| Firewall / ACL | DigiCertのIPアドレス、またはユーザーエージェント「DigiCert DCV/1.1」「DigiCert DCV Bot/1.1」がブロックされていないことを確認する |
| Protocol restrictions | TCP 53番ポートがブロックされていないことを確認する(DNSSECや大容量のDNSレスポンスに必要) |
| Concurrent session limits | 同時セッション数の上限が50未満になっていないことを確認する(200への引き上げを推奨) |
| Queries per second(QPS) | IPアドレス単位のQPS制限が低すぎず、認証時の一時的な問い合わせ集中を抑制していないことを確認する |
| Geo-blocking(地域制限) | 特定の国または地域からのDNSクエリをブロックしていないことを確認する |
| DNS protection services | 認証用トラフィックを破棄するような「DNSファイアウォール」などの過度に強い保護ルールでブロックしていないことを確認する |
| Server logs | DigiCertのIPアドレスからの問い合わせ(クエリ)に対して、Dropped query(破棄)、REFUSED(拒否)、タイムアウトが発生していないことを確認する |
認証が断続的に成功・失敗する理由
認証が断続的に成功・失敗する場合は、ほとんどのケースでレート制限または同時セッション数の上限が原因です。MPIC では複数のエージェントが同時に DNS へ問い合わせを行うため、セッション上限が低い環境では、先に到達した一部の問い合わせのみ成功し、後続の問い合わせが拒否またはタイムアウトすることがあります。
オフピーク(閑散時間)帯には成功し、ビジネスアワー(業務時間)帯には失敗するという現象が見られる場合、これはDNSインフラストラクチャにおけるレート制限またはリソース間で競合が起きている可能性があります。
-
法人向けTLS/SSLサーバ証明書、PKI、IoT、署名ソリューションを提供するグローバルリーディングカンパニーです。
-
-
© 2022-2025, DigiCert, Inc. All rights reserved.
Cookie Settings
