平素より、グローバルサインのサービスをご愛顧くださり誠にありがとうございます。
この度、業界団体であるCA/ブラウザフォーラムが定める証明書発行ガイドライン(Baseline Requirement)の変更に従い、SSLサーバ証明書のドメイン認証において、より厳格性を強化する仕組みである「MPIC(Multi-Perspective Issuance Corroboration)」を採用いたしました。
仕様変更後のお知らせとなり、大変申し訳ございません。
詳細は下記をご参照ください。
■対象サービス
クイック認証SSL byGMO
企業認証SSL byGMO
EV SSL byGMO
※SSLマネージドサービスを含みます。
※アルファSSLも対象となります。
■変更実施日
2025年2月25日(火)
■内容
変更実施日より、ドメイン認証の厳密性を強化する仕組みである「MPIC(Multi-Perspective Issuance Corroboration)」を採用いたしました。
本仕組みは、認証局がドメイン所有権を検証する際に、世界中の異なる複数の地理的ノードから情報を取得します。
これにより、ドメイン認証プロセスの信頼性と安全性がより高まります。
当該変更により、一部のドメイン認証プロセスにおいて実施しておりました、弊社審査担当による目視による審査がご利用いただけなくなりました。
■影響範囲
オンラインによるドメイン認証(弊社審査担当が介入しないもの)については原則として影響はございません。
弊社システムにて、オンラインによるドメイン認証ができず、お客様からのお問合せベースで、弊社審査担当が目視による審査を実施していたものについてはご利用いただけないため、影響がございます。
ドメイン認証プロセスでは、弊社システムがお客様環境にアクセスし、ドメイン審査コードが設置されているか否かの確認を実施いたしますが、IPアドレス等で弊社システムをホワイトリスト登録している場合は、本変更実施日以降、アクセス元のIPアドレスが固定ではなくなりましたので、設定変更が必要となります。
【ページ認証】
| 認証方法 | 使用可否 |
|---|---|
| ウェブページに弊社指定ドメイン審査コードを記載したファイルを配置いただき、弊社システムがオンラインで確認する方式 | 〇 原則利用可 |
| システムによるオンラインでの確認ができず、弊社審査担当がドメイン審査コードが記載されていることを目視で確認する方式 | × 利用不可 |
【DNS認証】
| 認証方法 | 使用可否 |
|---|---|
| DNSのTXTレコードに弊社指定のドメイン審査コードを配置いただき、弊社システムがオンラインで確認する方式 | 〇 原則利用可 |
| システムによるオンラインでの確認ができず、弊社審査担当がドメイン審査コードが記載されていることを目視で確認する方式 | × 利用不可 |
【メール認証(DNS TXT方式)】
| 認証方法 | 使用可否 |
|---|---|
| DNSのTXTレコードに認証用メールアドレスを設定いただき、弊社システムがオンラインで確認する方式 | 〇 原則利用可 |
| システムによるオンラインでの確認ができず、弊社審査担当が目視で確認し、ドメイン検証用リンクをお客様に送信する方式 | × 利用不可 |
※オンラインによるドメイン認証が成功しない場合に表示されるエラーメッセージについても本仕様変更以後、変更がございます。
■背景
業界団体であるCA/ブラウザフォーラムは、ボーダーゲートウェイプロトコル(BGP)ハイジャック攻撃への対抗手段として、ドメイン認証プロセスにおけるMPIC(Multi-Perspective Issuance Corroboration)の採用を決定いたしました。
MPIC実装により、認証局がドメイン所有権を検証する際に、世界中の異なる複数の地理的ノードから情報を取得するため、BGPハイジャック攻撃への有効な対策となり、ドメイン認証プロセスの信頼性と安全性を高め、サーバ証明書の不正発行リスクを低減させます。
弊社は本目的に賛同し、業界ルールに準拠するため、当該変更を実施いたしました。
■よくあるご質問
Q:オンラインによるドメイン認証が成功しない場合、その原因はどのようなものがありますか?
A:IPアドレス等でホワイトリスト登録しているアクセス元からの単一の接続のみを許可している場合や、DNSやウェブサーバの設定の問題、その他の要因が考えられます。
Q:オンラインによるドメイン認証が成功せず、目視確認を実施しているケースの割合はどの程度ありますか?
A:MPIC実装前は、ドメイン認証プロセスの大多数はオンラインで成功しており、目視確認を実施していたケースは極めて稀です。
Q:前回、目視審査を実施したドメインを教えてもらうことは可能ですか?
A:目視審査を実施したドメインをもとに発行された証明書をお持ちのお客様、代理店様には、メールによるご案内を予定しております。個別にお問合せくださいましたらご案内が可能でございます。
Q:オンラインによるドメイン認証が成功しない場合、今後どのように対応すれば良いですか?
A:時間を空けてリトライ、DNSやウェブサーバの設定の見直し、別の認証方法への切り替えなどを実施くださいますようお願いいたします。
お問い合わせ
ご質問や不明な点などございましたら、下記よりお問い合わせください。
- E-mail : support-jp@globalsign.com
- Tel:03-4545-1800 受付10:00~18:00(土日祝日除く)