マネージドPKI Lite byGMO、ドメイン認証方法の強化のお知らせ

2025年03月28日 15:00 お知らせ

平素より、グローバルサインのサービスをご愛顧くださり誠にありがとうございます。

この度、業界団体であるCA/BrowserForumが定める証明書発行ガイドライン（BaselineRequirement）の変更に従い、マネージドPKI Lite byGMOのドメイン認証において、より厳格性を強化する仕組みである「MPIC（Multi-Perspective Issuance Corroboration）」を採用いたします。詳細は下記をご参照ください。

対象サービス

マネージドPKI Lite byGMO

変更実施日

2025年04月28日（月）

内容

変更実施日より、ドメイン認証の厳密性を強化する仕組みである「MPIC（Multi-Perspective Issuance Corroboration）」を採用いたします。
本仕組みは、認証局がドメイン所有権を検証する際に、世界中の異なる複数の地理的ノードから情報を取得します。これにより、ドメイン認証プロセスの信頼性と安全性がより高まります。
当該変更実施日以降、弊社審査担当による目視確認に基づくドメイン認証がご利用いただけなくなります。

影響範囲

弊社審査担当が使用するツールにて設定内容を確認する方式、および今後リリース予定のオンラインによるドメイン認証方式については、原則として影響はございません。
ツールによるドメイン認証ができずに、弊社審査担当の目視による確認が必要なものは、当該変更日以降は審査対応ができなくなります。
ドメイン認証プロセスでは、弊社システムがお客様環境にアクセスし、ドメイン審査コードが設置されているか否かの確認を実施するプロセスがございますが、IPアドレス等で弊社システムをホワイトリスト登録している場合は、当該変更実施日以降、アクセス元のIPアドレスが固定ではなくなりますので、設定変更が必要となります。

■ページ認証

認証方法	使用可否
ウェブページに弊社指定ドメイン審査コードを記載したファイルを配置いただき、弊社審査担当が使用するツールにて設定内容を確認する方式ウェブページに弊社指定ドメイン審査コードを記載したファイルを配置いただき、弊社システムがオンラインで確認する方式（5/26以降リリース予定）	〇　原則利用可
ツールによる確認ができず、弊社審査担当がドメイン審査コードが記載されていることを目視で確認する方式	×　利用不可

■DNS認証

認証方法	使用可否
DNSのTXTレコードに弊社指定のドメイン審査コードを配置いただき、弊社審査担当が使用するツールにて設定内容を確認する方式 DNSのTXTレコードに弊社指定のドメイン審査コードを配置いただき、弊社システムがオンラインで確認する方式（5/26以降リリース予定）	〇　原則利用可
ツールによる確認ができず、弊社審査担当がドメイン審査コードが記載されていることを目視で確認する方式	×　利用不可

■メール認証（DNS TXT方式）

認証方法	使用可否
DNSのTXTレコードに認証用メールアドレスを設定いただき、弊社審査担当が使用するツールにて設定内容を確認し、ドメイン検証用リンクを当該メールアドレスに送信する方式 DNSのTXTレコードに認証用メールアドレスを設定いただき、弊社システムが認証に利用できるメールアドレスとして、申請画面に表示させる方式（5/26以降リリース予定）	〇　原則利用可
ツールによる確認ができず、弊社審査担当がドメイン審査コードが記載されていることを目視で確認する方式	×　利用不可

認証方法

使用可否

DNSのTXTレコードに認証用メールアドレスを設定いただき、弊社審査担当が使用するツールにて設定内容を確認し、ドメイン検証用リンクを当該メールアドレスに送信する方式
DNSのTXTレコードに認証用メールアドレスを設定いただき、弊社システムが認証に利用できるメールアドレスとして、申請画面に表示させる方式（5/26以降リリース予定）

〇　原則利用可

ツールによる確認ができず、弊社審査担当がドメイン審査コードが記載されていることを目視で確認する方式

×　利用不可

※本仕様変更日より、ツールによるドメイン認証の結果を弊社審査担当が確認し、失敗した場合は個別でご連絡差し上げます。
※なお、2025年5月26日（時期未定）以降は、ドメイン認証方法の選択および結果通知もすべてオンライン上で完結いたします。

背景

業界団体であるCA/ブラウザフォーラムは、ボーダーゲートウェイプロトコル（BGP）ハイジャック攻撃への対抗手段として、ドメイン認証プロセスにおけるMPIC（Multi-Perspective Issuance Corroboration）の採用を決定いたしました。
MPIC実装により、認証局がドメイン所有権を検証する際に、世界中の異なる複数の地理的ノードから情報を取得するため、BGPハイジャック攻撃への有効な対策となり、ドメイン認証プロセスの信頼性と安全性を高め、証明書の不正発行リスクを低減させます。
弊社は本目的に賛同し、業界ルールに準拠するため、当該変更を実施いたします。

よくあるご質問

Q：オンラインによるドメイン認証が成功しない場合、その原因はどのようなものがありますか？: A：IPアドレス等でホワイトリスト登録しているアクセス元からの単一の接続のみを許可している場合や、DNSやウェブサーバの設定の問題、その他の要因が考えられます。
Q：オンラインによるドメイン認証が成功しない場合、今後どのように対応すれば良いですか？: A：時間を空けてリトライ、DNSやウェブサーバの設定の見直し、別の認証方法への切り替えなどを実施くださいますようお願いいたします。

お問い合わせ

ご質問や不明な点などございましたら、下記よりお問い合わせください。

E-mail ： support-jp@globalsign.com
Tel：03-4545-1800 受付10:00～18：00（土日祝日除く）