Google Chrome チームは、Ballot SC-090 を提案しました。このバロットは、メール、電話、または「クロスオーバー」手法（IP アドレス検証を用いたドメイン名の検証）に依存する従来のドメインおよび IP アドレス検証方法を段階的に廃止するための、複数年にわたるタイムラインを定めています。本バロットは、完全な自動化をサポートする検証方法のみを許可するという方向性に向けた重要な一歩です。

この提案は、ドメインおよび IP アドレス検証の再利用期間短縮を開始した Ballot SC-81 による自動化の進展を基盤としています。SC-090 では、この期間が今後数年間にわたってさらに短縮され、最終的には 2029 年に 10 日となる予定です。

証明書ライフサイクル管理において自動化が現代の必須要件であることは否定できません。しかし、今回の更新により、近く廃止される検証方法を現在も利用しているドメイン所有者は対応を迫られることになります。

主な変更点とタイムライン

フェーズ 1：2026 年 3 月 15 日

方法 3.2.2.4.8（IP アドレス検証を用いたドメイン検証）は禁止されます。

ベースライン要件では、ドメインが指し示す IP アドレスを検証することで、そのドメインを検証することが許可されてきました。しかし、この手法には潜在的な弱点があることがセキュリティ担当者によって指摘されています。実際に悪用される可能性は低いものの、この方法は 2026 年 3 月 15 日以降使用できなくなります。

フェーズ 2：2027 年 3 月 15 日

以下の郵送、FAX、電話ベースの連絡方法は廃止されます。

• 方法 3.2.2.4.16：DNS TXT レコードを用いた電話連絡
• 方法 3.2.2.4.17：DNS CAA を用いた電話連絡
• 方法 3.2.2.5.2：IP アドレス連絡先へのメール、FAX、SMS、または郵送
• 方法 3.2.2.5.5：IP アドレス連絡先への電話連絡

これらの方法は電話、はがき、FAX といった手段を使用するため、検証の実施に人による手動対応が必要です。このような手動プロセスは、証明書に含まれるドメイン名および IP アドレスの検証を完全に自動化するという Google Chrome チームの目標に反します。そのため、これらの方法は 2027 年 3 月 15 日以降使用できなくなります。

フェーズ 3：2028 年 3 月 15 日

最終フェーズでは、残るメールベースの検証方法が廃止されます。

• 方法 3.2.2.4.4：ドメイン連絡先への構成済みメール
• 方法 3.2.2.4.13：DNS CAA 連絡先へのメール
• 方法 3.2.2.4.14：DNS TXT 連絡先へのメール

この第 3 かつ最終ステップでは、多くの組織で利用されてきたメールベースの検証方法が禁止されます。使いやすさが高いことから広く普及しているため、この廃止は最も影響が大きいと考えられます。その点を考慮し、Chrome チームは影響を受ける組織が自動化手法へ移行するための十分な準備期間を設けています。

ドメイン所有者への影響

これらの方法を用いてドメインや IP アドレスを検証しているドメイン所有者は、よりモダンで自動化された方法への移行計画を立てる必要があります。DNS ベースや HTTP ベースの検証といった自動化アプローチは、証明書ライフサイクル管理ソリューションが人の介入なしに必要に応じて自動的に検証を実行できるため、特に有効な選択肢です。

今後の道筋：完全自動化に向けた準備

Ballot SC-090 は、CA/Browser Forum による正式な投票はまだ行われていませんが、Chrome 以外の複数のルートプログラムからすでに支持を得ており、可決される可能性は非常に高いと考えられます。業界の方向性は明確であり、完全に自動化され、継続的に検証される証明書管理へと移行しています。

今から対応を開始する組織は、手動による検証方法が廃止された後も、コンプライアンスの維持と効率性の両立を実現できます。導入を検討されますか？お問い合わせいただければ、DigiCert Trust Lifecycle Manager と UltraDNS ドメイン検証連携が、大規模かつ安全な自動検証をどのように実現できるかをご紹介します。