Knowledge Base

2025年9月1日より、DigiCertはCA/Browser Forumの要件に従い、Multi-Perspective Issuance Corroboration（MPIC）の次期フェーズを実装し、証明書の検証プロセスを強化しました。2025年初めに開始したMPICの第一フェーズでは、複数のネットワーク拠点から
ドメイン管理情報とCAAレコードの詳細の確認を開始しました。MPICの次期フェーズでは、ネットワーク拠点を最大6拠点追加し、「Corroboration（確証）」を強化します。 
 
強化された検証プロセスでは、特定のドメインに対し、複数のネットワーク拠点から得たDNSレコードまたは
ウェブサイトのファイル内容が一致する必要があります。この検証が完了した場合にのみ、ドメインは検証済みとみなされ、証明書が発行されます。MPICの要件は、ドメイン利用権確認（DCV）と認証局承認（CAA）の両方のチェックに適用されます。 
 
これにより、セキュリティ脅威に対する保護が強化され、ネットワーク上のデータの傍受や改ざんしようとする不正に検知・ブロック
できるようになります。お客様にとって、これはセキュリティの強化と、権限のある機関のみが
お客様の対象ドメインを含む証明書を取得できるという信頼性の向上につながります。 
 

この記事で取り上げる項目 

• MPICプロセスの仕組み
  • ドメイン利用権確認（DCV）
  • DNS証明機関認証（CAA）
• 何をすればいいですか？
  • ユーザーエージェント DigiCert DCV Bot/1.1 または IP アドレスを許可リストに追加する
  • DNSレコードアクセスの確認 – トラブルシューティング

MPIC プロセスはどのように機能しますか? 

最初のステップとして、DigiCertはプライマリーネットワークから標準的な検証チェックを実施します。このチェックはそれぞれ異なるネットワークや地域にある６つの拠点から行われるようになります。ドメイン名の利用権が確認され、CAAチェックをパスし、証明証が発行されるためには、プライマリネットワークで取得した詳細情報が６つの拠点のうち４つの拠点で検証される（内容が一致すると確認される）必要があります。

ドメイン利用権確認 (DCV) 
MPICは、以下の一般的なドメイン利用権確認（DCV）方式に対して適用されます。 

• DNS TXTレコード（DNS TXT record）
• DNS CNAMEレコード（DNS CNAME Record）
• DNS TXT 連絡先へのEメール（Email to DNS TXT contact）
• CAA 連絡先へのEメール（Email to CAA contact）
• HTTP実践デモンストレーション/ファイル認証（HTTP Practical Demonstration）
  • ドメインとIPアドレス（Domains and IP addresses）
• ユニークなファイル名を使用したHTTP実践デモンストレーション/ファイル認証（HTTP Practical Demonstration with a unique file name）
• ACME http-01
• ACME dns-01

 
上記の各DCV方式には、前述の検証要件が適用されます。プライマリネットワークの詳細を裏付けるネットワーク拠点の数が不十分な場合、ドメインの検証は失敗し、証明書は発行されません。 この厳重なチェック体制によって、正規の管理者である確認の精度を上げ、証明書取得の安全性を高めることができます。 
 

DNS証明機関認証（CAA）チェック 

MPICは、CAAレコードのチェックにも適用されます。このチェックは、DigiCertが特定のドメインに対して証明書を発行する許可を持っているかを確認するために行うものです。DigiCertはTLS/SSL証明書やセキュアなメール（S/MIME）証明書を発行する前には、対象となるドメイン（またはメールドメイン）のDNS CAAリソースレコードを確認し、もし設定があればその内容に従う義務があります。DNS CAAリソースレコードのチェックについての詳細は、こちらをご覧ください。
 

何をすればいいですか？ 

MPICへの準備として、使用しているDCV方式によっては、新しいプロセスが2025年9月1日に導入されるまでに、作業が必要になることがあります。  

DCV方式ごとに、現在の検証設定を確認してください。  

• HTTP実践デモンストレーション/ファイル認証（HTTP Practical Demonstration）を利用している場合：厳格なネットワーク制御など、複数拠点からの検証リクエストをブロックまたは遅延させる可能性がお客様のWebサーバー環境にないことを確認してください。 

  • 特定のIPアドレスからのみアクセスを許可している（IPアドレス制限）
  • 特定の国や地域からのアクセスを拒否している（海外アクセス制限）

アクセス制限をしている場合は「ユーザーエージェント DigiCert DCV Bot/1.1 または IP アドレスを許可リストに追加する」をご覧ください。 

• DNS TXTレコードやDNS TXT連絡先へのEメールなど、DNSベースのDCV方式を利用している場合：お使いのDNSサーバーが、世界中の様々な場所からの問い合わせに対して、常に同じ正しい情報を返すか、一部の地域で応答に遅延や失敗がないかご確認ください。ドメイン検証のためにDNSレコードを変更した際、権威ネームサーバーに確実に伝播され、TTL 設定によってタイムリーな更新が可能であるかが重要となります。 

詳細は「DNSレコードアクセスの確認」をご覧ください。 

 ユーザーエージェント DigiCert DCV Bot/1.1 または IP アドレスを許可リストに追加する

 HTTP実践デモンストレーションのDCV方式と許可リストを使用して受信トラフィックを制御している場合は、対応が必要です。許可リストを更新することで、DigiCertはウェブサイト上の所定の場所にあるランダム値を含む.txtファイルにアクセスできるようになります。

 
2025 年 9 月 1 日以降は、ユーザー エージェントまたは IP アドレスを許可リストに追加してください。 

• User Agent “DigiCert DCV Bot/1.1” を許可リストに追加してください。 
  可能であれば、”DigiCert DCV Bot/1.1” を許可リストに追加することを推奨します。”DigiCert DCV Bot/1.1” を追加することで、MPIC エージェントが使用するすべての IPアドレスが自動的に含まれるため、新しい IPアドレスが導入された場合でも確実に保護されます。 

• IPアドレスを許可リストに追加する場合は下記表内の MPICエージェントのIPアドレスを追加してください。 

DNS レコードへのアクセスを確認する

DCVと CAAレコードのチェックで問題が発生する可能性は低いですが、2025 年9月1日以降、以下の方式を使用している場合、証明書の発行プロセスに中断が生じる可能性があります。 

• DNSベースのDCV方式: DNS TXTレコード（DNS TXT record）、DNS TXTレコード（DNS TXT record）、DNS TXT 連絡先へのEメール（Email to DNS TXT contact） 、CAA 連絡先へのEメール（Email to CAA contact） 

• CAAリソースレコード : 該当ドメインが証明書を発行可能とするCA（認証局）であるか確認します 

変更内容がすべての権威ネームサーバーに確実に伝播すること、また、TTL設定がタイムリーな更新を可能にしていることをご確認ください。 

• [権威ネームサーバーに関する詳細]はこちら をご確認ください。 

• [Time to Live（TTL）に関する詳細]はこちら ご確認ください。 

※英語のサイトとなりますのでご不便である場合にはブラウザの翻訳機能などをご活用ください。 

これらのチェックを行うことで、DigiCertがお客様のDNSレコード内にあるランダム値やEメール連絡先を確実に見つけ出し、CAAリソースレコードへのアクセスを確認できるようになります。その結果、弊社がお客様のドメインに対してTLSおよびS/MIME証明書を発行する権限が承認されることになります。
 

MPIC に関する問題のトラブルシューティング 

万が一問題が発生した場合は、お客様のドメインのDNS設定が複数の地域からアクセス可能であるか確認することを推奨します。設定を確認するためには、ご利用のDNSプロバイダーへの連絡が必要になる場合があります。