2025年11月8日、CA/Browser Forum は、DNS を使用した新しいドメイン制御検証（DCV）方法を、サーバ証明書ベースライン要件に正式に組み込みました。この更新により、DNS への書き込み権限の必要性が軽減され、組織がどのようにドメイン制御を証明できるかが明確化されることで、証明書の自動化がより安全かつ実装しやすくなります。

これは手続き上は小さな変更ですが、実務面では大きな影響があり、組織がドメイン所有権を証明し、証明書ライフサイクルの完全自動化に向けて進む中で、信頼を維持する方法を簡素化します。

ドメイン制御検証における新機能

新しい DNS ベースの DCV 方法では、認証局（CA）の顧客が、証明書申請で指定されたドメインの権威 DNS に TXT レコードを配置します。レコード名はドメインを識別し、値には CA、固有の顧客アカウント識別子（RFC 8657 で定義）、および任意の有効期限日が含まれます。

CA/Browser Forum による例：

この例では次の内容を示しています。

• example.com：顧客ドメイン
• authority.example：CA ドメイン
• accounturi：アカウント識別子
• persistUntil：レコードの有効期限

既存の DNS-01 検証からの改善点

従来の ACME による DNS ベースの検証方法（DNS-01）では、DNS への書き込みアクセスと、検証レコードの定期的な作成または更新が必要でした。新しい方法である DNS-PERSIST-01 では、特定のドメインと CA の組み合わせに対して、DNS レコードを一度作成するだけで済みます。

これにより、継続的な DNS 書き込みアクセスが不要となり、DNS 管理者が自動化された証明書管理をサポートしやすくなると同時に、運用の複雑性とリスクが軽減されます。特に、大規模な証明書自動化を進める組織にとって大きなメリットがあります。

自動化の支援と DNS セキュリティの強化

DNS 書き込み権限の必要性を最小限に抑えることで、DNS-PERSIST-01 は潜在的な攻撃対象領域を削減し、DNS 全体のセキュリティを強化します。また、ドメイン検証の自動化を簡素化し、継続的な証明書管理における大きな運用上の障壁を取り除きます。

この新しい方法は、安全な自動化に向けた業界全体の流れに証明書運用を整合させ、デジタル証明書を大規模に管理するための、より堅牢で低メンテナンスな基盤を提供します。

業界での採用状況と今後のステップ

「DNS TXT Record with Persistent Value DCV Method」と正式に題されたこの提案は、10月8日に CA/Browser Forum のサーバ証明書ワーキンググループで承認され、知的財産に関するレビューも完了しました。11月8日付で、この方法はサーバ証明書ベースライン要件に正式に組み込まれ、認証局は DNS-PERSIST-01 方法をドメイン制御検証に使用できるようになりました。

関連する提案は、同様の永続的 DNS 検証アプローチを ACME 仕様に追加するため、IETF ACME ワーキンググループに提出されています。このプロセスは始まったばかりで、完了までに1年以上かかる見込みです。

並行して、安全な自動化を引き続き重視する Chrome Root Program ポリシー（バージョン 1.8）の更新も現在パブリックコメント中で、2026年2月に発効する予定です。

これらの取り組みは、標準に準拠した完全自動化の証明書エコシステムに向けた継続的な進展を示しています。

証明書管理における自動化の推進

永続的 DNS 検証は、効率的で安全な証明書管理を目指す業界全体の動きの一部です。デジサートは、ACME、強力な API 連携、そしてマネージド PKI ソリューションを通じて自動化を支援し、組織が大規模に証明書を展開・更新・保護することを容易にしています。

デジサートの自動化ソリューションを見ることで、エンタープライズ全体で信頼性が高く、ポリシーに準拠した証明書管理をどのように実現できるかをご確認ください。