DigiCert KnowledgeBase - Technical Support-hero

Knowledge Base

MPICを使用したドメイン管理の検証及びCAAチェックの実行

Solution ID : SO499
Last Modified : 2026/04/29
重要: 本ページは現時点での情報です。新たな情報が更新される予定です。このページをブックマークし、定期的に最新情報の確認をお願いします。

 

DigiCertは、2026年6月1日から開始し、遅くとも2026年6月14日までに、CA/Browser ForumのMPIC要件の次期段階に準拠するため、少なくとも2つの異なるインターネットレジストリ地域から、かつ少なくとも4つのリモートネットワーク拠点を使用して認証の裏付け確認を行うようにMPICを更新します。


背景

  • 2025年3月、DigiCertは、将来のMulti-Perspective Issuance Corroboration(MPIC)フェーズに先立ち、CA Browser Forumの要件に従って、複数のネットワーク拠点からドメイン管理情報とCAAレコードの詳細の確認を開始しました。
  • 2025年9月、DigiCertは、MPICの次期フェーズを実装し、少なくとも2つのリモートネットワーク拠点を使用した検証を実行することで、証明書の検証および発行プロセスを強化しました。
  • 2026年2月、DigiCertは、CA/Browser ForumのMPIC要件の次の段階に準拠するため、少なくとも2つの異なるインターネットレジストリ地域にまたがり、かつ少なくとも3つのリモートネットワーク拠点を使用して認証の裏付け確認を行うことを必須とするようにMPICを更新しました。


裏付けの確認について解説します。

強化された検証プロセスにおいて特定のドメインに対し複数のネットワーク拠点から得たDNSレコードまたはウェブサイトのファイル内容が一致する必要があります。この検証が完了した場合にのみ、ドメインは検証済みとみなされ、証明書が発行されます。MPICの要件は、ドメイン利用権確認(DCV)と認証局承認(CAA)の両方のチェックに適用されます。

裏付けの確認を利用するメリット

冗長性により、セキュリティ脅威に対する保護が強化され、ネットワーク上のデータの傍受や改ざんしようとする不正に検知・ブロックできるようになります。
お客様にとって、これはセキュリティの強化と、権限のある機関のみがお客様の対象ドメインを含む証明書を取得できるという信頼性の向上につながります。 

この記事で取り上げる項目 

 

MPIC プロセスはどのように機能しますか? 

最初のステップとして、DigiCertはプライマリーネットワークから標準的な検証チェックを実施します。このチェックはそれぞれ異なるネットワークや
地域にある6つの拠点から行われるようになります。ドメイン名の利用権が確認され、CAAチェックをパスし、証明証が発行されるためには、プライマリネットワークで
取得した詳細情報が6つの拠点のうち4つの拠点で検証される(内容が一致すると確認される)必要があります。

CA/Browser Forumで求められる裏付け確認

CA/Browser Forum タイムライン 異なるリモートネットワーク拠点数 裏付け確認が取れないケースの許容数*1
フェーズ1: 2025年3月 複数のネットワーク拠点からのみ確認してください。 該当なし
フェーズ2: 2025年9月 少なくとも2か所の遠隔ネットワーク拠点から確認してください。 裏付け確認が取れないケースを1件まで許容*1
フェーズ3: 2026年2月 少なくとも3か所の遠隔ネットワーク拠点と、少なくとも2つの異なる地域インターネットレジストリ(RIR)から確認してください。 裏付け確認が取れないケースを1件まで許容*1
フェーズ4: 2026年6月 少なくとも4か所の遠隔ネットワーク拠点と、少なくとも2つの異なる地域インターネットレジストリ(RIR)から確認してください。 裏付け確認が取れないケースを1件まで許容
フェーズ5: 2026年12月 少なくとも5か所の遠隔ネットワーク拠点と、少なくとも2つの異なる地域インターネットレジストリ(RIR)から確認してください。 裏付け確認が取れないケースを1件まで許容

*1 2~5か所の遠隔地およびRIRから確認する場合、複数のネットワーク拠点から得たプライマリネットワークの詳細が一致しない場合、DigiCertの検証および証明書の発行は続行できません。

 

ドメイン利用権確認 (DCV) 

MPICは、以下の一般的なドメイン利用権確認(DCV)方式に対して適用されます。 

  • DNS TXTレコード(DNS TXT record)
  • DNS CNAMEレコード(DNS CNAME Record)
  • DNS TXT 連絡先へのEメール(Email to DNS TXT contact)
  • CAA 連絡先へのEメール(Email to CAA contact)
  • HTTP実践デモンストレーション/ファイル認証(HTTP Practical Demonstration)
    • ドメインとIPアドレス(Domains and IP addresses)
  • ユニークなファイル名を使用したHTTP実践デモンストレーション/ファイル認証(HTTP Practical Demonstration with a unique file name)
  • ACME http-01
  • ACME dns-01

 
上記の各DCV方式には、前述の検証要件が適用されます。プライマリネットワークの詳細を裏付けるネットワーク拠点の数が不十分な場合、ドメインの検証は失敗し、
証明書は発行されません。 この厳重なチェック体制によって、正規の管理者である確認の精度を上げ、証明書取得の安全性を高めることができます。 
 

DNS証明機関認証(CAA)チェック

MPICは、CAAレコードのチェックにも適用されます。このチェックは、DigiCertが特定のドメインに対して証明書を発行する許可を持っているかを確認するために
行うものです。DigiCertはTLS/SSL証明書やセキュアなメール(S/MIME)証明書を発行する前には、対象となるドメイン(またはメールドメイン)の
DNS CAAリソースレコードを確認し、もし設定があればその内容に従う義務があります。DNS CAAリソースレコードのチェックについての詳細は、こちら
ご覧ください。
 

何をすればいいですか? 

MPICへの準備として、使用しているDCV方式によっては、新しいプロセスが2025年9月1日に導入されるまでに、作業が必要になることがあります。  

DCV方式ごとに、現在の検証設定を確認してください。  

  • HTTP実践デモンストレーション/ファイル認証(HTTP Practical Demonstration)を利用している場合:厳格なネットワーク制御など、複数拠点からの
    検証リクエストをブロックまたは遅延させる可能性がお客様のWebサーバー環境にないことを確認してください。 

    • 特定のIPアドレスからのみアクセスを許可している(IPアドレス制限)
    • 特定の国や地域からのアクセスを拒否している(海外アクセス制限)

アクセス制限をしている場合は「ユーザーエージェントDigiCert DCV/1.1と DigiCert DCV Bot/1.1 または IP アドレスを許可リストに追加する」をご覧ください。 

  • DNS TXTレコードやDNS TXT連絡先へのEメールなど、DNSベースのDCV方式を利用している場合:お使いのDNSサーバーが、世界中の様々な場所からの
    問い合わせに対して、常に同じ正しい情報を返すか、一部の地域で応答に遅延や失敗がないかご確認ください。
    ドメイン検証のためにDNSレコードを変更した際、権威ネームサーバーに確実に伝播され、TTL 設定によってタイムリーな更新が可能であるかが重要となります。 

詳細は「DNSレコードアクセスの確認」をご覧ください。 

 ユーザーエージェントDigiCert DCV/1.1と DigiCert DCV Bot/1.1 または IP アドレスを許可リストに追加する

 HTTP実践デモンストレーションのDCV方式と許可リストを使用して受信トラフィックを制御している場合は、対応が必要です。許可リストを更新することで、DigiCertはウェブサイト上の所定の場所にあるランダム値を含む.txtファイルにアクセスできるようになります。

 
ユーザー エージェントまたは IP アドレスを許可リストに追加してください。 

  • User Agent DigiCert DCV/1.12DigiCert DCV Bot/1.1 を許可リストに追加してください。 
    可能であれば、 DigiCert DCV/1.12DigiCert DCV Bot/1.1 を許可リストに追加することを推奨します。 DigiCert DCV/1.12DigiCert DCV Bot/1.1 を追加することで、 MPIC エージェントが使用するすべての IPアドレスが自動的に含まれるため、新しい IPアドレスが導入された場合でも確実に保護されます。

    注記:2026年2月24日、DigiCertはユーザーエージェント「DigiCert DCV/1.12」を追加しました。IPアドレスではなくユーザーエージェントを許可リストに追加する
    場合は、両方のユーザーエージェントを追加する必要があります。 

  • IPアドレスを許可リストに追加する場合は下記表内の MPICエージェントのIPアドレスを追加してください。 

 MPICエージェントのIPアドレス        
  • 52.78.185.62
  • 52.197.215.146
  • 216.168.240.4
  • 216.168.247.9
  • 202.65.16.4
  • 54.185.245.130              
  • 13.58.90.0
  • 52.17.48.104
  • 18.193.239.14     
  • 54.227.165.213 
  • 54.241.89.140                              
  • これらは現時点で利用されているIPアドレスです。今後もIPアドレスは追加されていきます。可能であれば、IPアドレスの代わりにユーザーエージェントを許可リストに登録することを強く推奨します。 


DNS レコードへのアクセスを確認する

DCVと CAAレコードのチェックで問題が発生する可能性は低いですが、2025 年9月1日以降、以下の方式を使用している場合、証明書の発行プロセスに中断が生じる可能性があります。 

  • DNSベースのDCV方式: DNS TXTレコード(DNS TXT record)、DNS TXTレコード(DNS TXT record)、DNS TXT 連絡先へのEメール(Email to DNS TXT contact) 、CAA 連絡先へのEメール(Email to CAA contact) 

  • CAAリソースレコード : 該当ドメインが証明書を発行可能とするCA(認証局)であるか確認します 

変更内容がすべての権威ネームサーバーに確実に伝播すること、また、TTL設定がタイムリーな更新を可能にしていることをご確認ください。 

  • [権威ネームサーバーに関する詳細]はこちら をご確認ください。 

  • [Time to Live(TTL)に関する詳細]はこちら ご確認ください。 

※英語のサイトとなりますのでご不便である場合にはブラウザの翻訳機能などをご活用ください。 

これらのチェックを行うことで、DigiCertがお客様のDNSレコード内にあるランダム値やEメール連絡先を確実に見つけ出し、CAAリソースレコードへのアクセスを
確認できるようになります。その結果、弊社がお客様のドメインに対してTLSおよびS/MIME証明書を発行する権限が承認されることになります。
 

MPIC に関する問題のトラブルシューティング

万が一問題が発生した場合は、お客様のドメインのDNS設定が複数の地域からアクセス可能であるか確認することを推奨します。設定を確認するためには、
ご利用のDNSプロバイダーへの連絡が必要になる場合があります。 

  • DigiCert Logo

    法人向けTLS/SSLサーバ証明書、PKI、IoT、署名ソリューションを提供するグローバルリーディングカンパニーです。