お客様 各位
2024年10月26日
ZERONET株式会社
2024年10月26日(続報)WHOISベースのEメールによるドメイン名の利用権確認(DCV)方式終了の可能性について
もご参照下さい。
2024年09月25日
ZERONET株式会社
平素はValueSSLをご利用いただき、誠にありがとうございます。
本件はデジサート製品、Sectigo(コモド)製品を含むすべてのSSLサーバ証明書発行時の
ドメイン名の利用権確認方式(DCV)についての検証方式の変更の可能性に関するお知らせでございます。
ドメイン名の利用権確認方式(DCV)について
「ファイル認証」「DNS認証」をご利用の場合は本件の影響はございません。
「メール認証」をご利用の場合で承認メールの宛先にWHOISベースのEメールを
ご利用頂いている場合は影響がございますので本メールを最後までお読み下さいますようお願い致します。
本件はすでに発行済のSSLサーバ証明書につきましては影響はございません。
■本件の背景
現在CA/Browser ForumにおいてGoogle社が ドメイン名の利用権確認方式(DCV)について、
WHOISベースのEメールによるドメイン検証方式の利用終了案作成、当該Forum内で承認プロセスの投票を準備しております。
こちらは、脆弱性を指摘する記事が公開されており、最短で2024年11月1日以降、
CA/Browser Forumの改定ルールとして、すべての認証局において当該方式の利用を
禁止する可能性がございます。当該方式を使った既発行済みの証明書へは影響ございません。
ドメイン名の利用権確認(DCV)に「WHOISベースのEメールによるドメイン検証方式」を利用されている場合は
今後も円滑な証明書発行を実施する上ではドメイン検証方式の変更が必要となります。
他の検証方式への移行を期日までにご検討、実施くださいますようよろしくお願いいたします。
詳細につき、下記に記載の内容をご確認いただきたくお願いいたします。
(1) 影響を受けるドメイン検証方式
証明書を発行する際に実施しておりますドメイン名の利用権確認
(DCV、Domain Control Validation)において、WHOISベースのEメールによる
検証方式が影響を受ける見込みです。
WHOISベースのEメール検証
https://docs.digicert.com/ja/certcentral/manage-certificates/dv-certificate-enrollment/
domain-control-validation–dcv–methods.html#idp682630
本方式については、以下のURLで公開されております研究者のレポートにおいて脆弱性が指摘されております。
記事リンク(英文)
https://arstechnica.com/security/2024/09/rogue-whois-server-gives-researcher-superpowers
-no-one-should-ever-have/
現在、CA/Browser Forumでは、Google社が当該方式の利用を禁止するルール改定案を
作成、最短で2024年11月 1日より当該方式の利用を禁止する案になっており、
近日中に承認投票プロセスに進む見込みです。デジサート社は、現段階では本改定案については、
賛成をしない方針でおりますが、承認される場合、最短で上記のとおり2024年11月 1日より、
すべての認証局において当該方式が利用できなくなる可能性がございます。
(2) お客様にご対応いただきたいこと
デジサート社は、当該改定案が承認される見込みであると考えておりますので、
お客様におかれましては、円滑な証明書の発行を実現するために「ドメイン名の
利用権確認 (DCV) においてWHOISベースのEメールによる検証方式」から、
他の方式に変更をいただくようお願いいたします。
本変更は2024年11月1日またはそれ以降に適用する可能性がございますこと、
ご留意いただきたく、当該日までに変更を適用できるようご準備、適用をお願いいたします。
なお、禁止されない見込みである、Eメールを利用したその他のドメイン検証方式には、
以下のようなものもございますので、併せてご確認ください。
構築されたEメール検証(admin、administrator、webmaster、hostmaster および
postmaster の5つのエイリアス宛)
https://docs.digicert.com/ja/certcentral/manage-certificates/dv-certificate-enrollment/domain-control-validation–dcv–methods.html#idp697990
DNS TXT連絡先へのEメールDCV方式
https://docs.digicert.com/ja/certcentral/manage-certificates/dv-certificate-enrollment/
domain-control-validation–dcv–methods.html#dns-txt連絡先へのeメールdcv方式-401193
本件に関するKnowlege Baseの記事を以下にご用意しております。
End of Life for WHOIS based email DCV method(英語のみ)
https://knowledge.digicert.com/alerts/end-of-life-for-whois-based-email-dcv-method
本件につきましてご不明な点がございましたら弊社サポートまでお問合せ下さい。