ValuesSSL 2021年 ドメイン名の認証ポリシーの変更について

ValueSSL クイックSSLプレミアム ValueSSL

2021年 ドメイン名の認証ポリシーの変更について

お客さま各位

ZERONET株式会社
2021年08月06日

日頃はValueSSLをご利用いただきましてありがとうございます。

認証局では、2021年10月~11月にドメイン名の認証ポリシーについて、2点の変更を予定しています。
変更適用日以降のTLS/SSL証明書の認証方法に影響がある可能性があります。
これらのポリシー変更は、新規、更新、および再発行すべてのTLS/SSL証明書に適用されます。
なお、既に発行済みの証明書への影響はありません。

  1. 2021年10月1日(JST)以降はドメインの再認証は、397日ごとに必要となります。
    従来は企業認証、EV認証ではドメイン認証履歴が2年間有効でございましたが、
    2021年10月1日(JST)以降は認証履歴の有効期間は397日となります。
    なおDV(ドメイン認証)では従来どおり毎回申請の都度、認証が必要でございます。

  2. 2021年11月16日 (JST)以降はワイルドカード証明書ではファイル認証がご利用いただけなくなります。
    また、ワイルドカード以外の証明書では、従来どおりファイル認証はご利用いただけますが、個々のFQDN/SANsごとにドメイン名の検証が必要となります。

※このポリシー変更は、すべてのパブリックTLS/SSL証明書に影響します。

ドメイン認証履歴 再利用397日に関する経緯・概要

Mozilla および CA/B フォーラムは、ドメイン認証履歴の再利用ライフサイクルを 397 日に短縮します。
これにより、ドメイン名の事前認証を行うことで常に有効な状態のドメイン名を管理されているお客様においては、一年に一度ドメインの再検証が必要となります。

本件に関する補足情報:

  • CA/B Forum Ballot SC42: 398-day Re-use Period
  • Mozilla Root Store Policy 2.7.1 には、Mozillaの最新のドメイン認証の再利用期間に関するポリシーが掲載されています。2.1項の項目5.1を参照ください。
  • EV証明書発行のためのドメイン名は現在も一年に一度のサイクルで再認証が必要なため、本変更における影響はほぼありませんが、これまでの13か月から397日に変更になることにより、数日のずれが発生する可能性があります。

ファイル認証形式によるドメイン名の認証 (DCV)

CA/Bフォーラムは、ファイル認証方式(DCV方式:HTTP Practical Demonstration)に関する投票を行いました。この変更(2021年11月16日(JST))は、ファイル認証方式の利用に以下のような影響を与えます。

  • ワイルドカード証明書のドメイン名の検証に、この方式を使用することが禁止されます。
  • ワイルドカードではない証明書のドメイン名の検証に、この方式を使用する場合、すべてのFQDN/SANに対して個別にドメインの検証が要求されます。
    注:ファイル認証以外のEメールおよびDNSベースのDCV認証方式は影響を受けません。

ファイル認証方式に関する変更

証明書のFQDN/SAN

検証ファイルの設置場所

現在のドメイン検証

変更適用後のドメイン検証

example.com

example.com

検証可

検証可

subdomain.example.com

subdomain.example.com

検証可

検証可

subdomain.example.com

example.com

検証可

検証不可

*.example.com

example.com

検証可

検証不可

www.example.com

example.com

検証可

検証不可

www.sub.example.com

sub.example.com

検証可

検証不可

現在、複数のDCV認証方式におけるCA/B フォーラムの基本要件では、FQDN(例:subdomain2.subdomain.example.com)または、ワイルドカードドメイン(例:*.subdomain.example.com)のドメイン名検証は、そのベースドメイン(例:example.com)または他の上位ドメイン名レベル(例:subdomain.example.com)にて、検証可能と考えられています。

しかしながら、本ポリシー変更により、ファイル認証方式が使用される場合は各 FQDN/SAN に対し、個別の検証が必要となります。また、ワイルドカードのドメイン名は FQDN と見なされないため、ワイルドカード証明書におけるファイル認証方式の仕様は完全に禁止されます。

なお、本変更はEメールおよび DNS認証方式の検証には適用されません。E メールおよびDNS認証方式による検証は、従来どおりワイルドカード証明書に使用することができ、サブドメインおよびワイルドカード・ドメインの検証に、ベースドメイン・レベルまたはその他の上位ドメインで検証を実施することができます。

この変更は、2021年11月16日(JST)に適用予定です。

最終更新日 2021 年 8 月 6 日 金曜日 RSS 2.0