CA/B フォーラム 05-11-2021

SSLサーバ証明書のドメイン認証方法に関する業界標準の変更に伴い、証明書管理ソリューションの必要性が高まる

Jeremy Rowley
blog-card-images

今年末までにドメイン認証ポリシーに関する2点の変更が予定されており、事前認証されたドメイン名の運用や、証明書発行申請の際に実施するウェブサイト情報の認証方式に影響を与える可能性があります。お客様におかれましては、ご自身の事前認証されたドメイン名の有効期限の運用、およびドメイン名の認証方式を見直し、今後実施される変更に備えていただくことをお勧めします。

398日ごとにドメイン所有権の再認証が必要になります

MozillaとCA/Bフォーラムは最近、基準を見直しドメイン認証履歴の再利用期間を825日間から398日間に短縮しました。これは、昨年行われたSSL/TLSサーバ証明書の最大有効期間の短縮と同等のものです。この変更は、過去に発行されたSSL/TLSサーバ証明書には影響しませんが、適用日以降に証明書を発行するお客様、または認証情報が398日以上経過した証明書を再発行または修正するお客様に影響します。この変更は、すべてのTLS/SSLサーバ証明書における新規申請、更新申請、および再発行申請に適用されます。なおこの変更は、Eメールアドレス認証ではなく、ドメイン名の事前認証を使用して発行するS/MIME証明書にも影響を与える可能性があります。

お早めに再認証を実施いただくことをご検討ください

適用日までに数ヶ月間の準備期間がありますので、直前まで待たず、影響をうける可能性のあるドメイン名に対して、早めに再認証を開始いただくことを推奨いたします。特に、事前に認証されたドメイン名を使用して証明書の自動化実装をしているお客様におきましては、証明書の発行時に不必要に中断されることを避けるため、10月以前にドメイン名の再認証を実施しドメイン名の有効化を維持いただく必要があります。なお、EV SSL証明書はすでに年1回の再認証が必要とされておりますので、今回の変更による影響はありません。

ドメイン認証方式(DCV)が今後変更される可能性があります

お客様におかれましては、DNS方式でのドメイン名の認証をご検討いただき、今後の変更に準備いただくことをお勧めします。10月以前に再認証を行う場合、お客様は現在使用しているDCV認証方式を改めてご確認ください。なぜなら、業界のさらなる変化に伴い、現在ご提供している認証方式からDNSベースの認証方式のような異なるDCV方式に移行する必要が出てくる可能性があります。 あらかじめDNSによる認証方式を採用いただくことで、業界の基準変更後もドメインの有効性が保たれ、再認証された有効期間を最大に活用することができます。

デジサートのスタンスは?

デジサートは、現在有効なドメイン名でも398日間を超えてその認証履歴を再利用することはせず、2021年10月1日以降は13ヶ月ごとに再認証を必要とします。お客様には、認証の継続性を確保するため、ドメイン名再認証の運用方法を長期的に計画いただくことをお勧めします。

これまでに証明書の管理がこれほど重要になったことはありません。前述した通り、業界の変化やコンプライアンス要件に対応するためには、エクセルやメール通知といった従来の方法で対応することは難しくなります。デジサートはお客様に認証状況をより分かりやすくご理解いただけるよう、これまで以上に努力しています。デジサート CertCentral ®アカウント にログインいただければ、「ドメイン」ページからアクセスして、登録されているドメイン名やその有効期限を確認いただけます。また、明日新しい証明書が必要になったときに備えて、再認証を申請することができます。お客様の認証状態を常に最新に保ち、自動化ソリューションを組み合わせることで、お客様の重要なサービスを停止することのないようお手伝いします。

デジサートCertCentral® のソリューションについて

CertCentral は、TLSサーバ証明書のライフサイクルをあらゆる角度から管理します。受賞歴のあるこのプラットフォームは、豊富な自動化ソリューションを搭載し、継続的な機能改善を行うとともに、ServiceNowのような一般的なプラットフォームやシステムに簡単に統合できるAPIベースのシステムです。

CertCentral では、以下のような証明書管理を簡素化する追加機能もご利用いただけます。

  • 複数年プラン CertCentral 上で、もしくは認定デジサート パートナーを通じて、TLSサーバ 証明書を最大 6 年間利用できる複数年プランが提供されています。複数年プラン では、毎年の証明書ごとの購入が不要となり、最長6年間のサービス期間で提供されます。この期間中は、必要に応じて証明書の再発行や更新を何度でも行うことができます。また、複数年まとめ買いいただくことで割引を得ることができます。なお、認証方法の変更に伴い、事前認証された証明書情報を利用しているお客様も、年に一度、新たにドメインの再認証が必要になります。
  • 自動化 先日、証明書のライフサイクルをオンプレミスで自動化するために開発されたDigiCert® Automation Manager を発表しました。Automation Manager は DigiCert ONE上で提供され、ファイアウォールの内側で安全かつ大量のTLSサーバ証明書を自動化するための、コンテナ化されたエンタープライズソリューションです。さらに、管理者がニーズに合った自動化ソリューションを選択できるように導くことができるインテリジェントツール「Automation Wizard」にも対応しています。オートメーション・マネージャーの仕組みについては、別のブログで紹介していますし、デモの申し込みもこちらからできます。

現在、デジサートをご利用のお客様は、CertCentral にアクセスして、ご自身のドメインの有効期限を確認して、有効な認証情報の維持に備えてください。また、ご不明な点がございましたら、デジサート 担当営業までお気軽にお問い合わせください。

UP NEXT
5 Min

特集記事

クラウド上で量子コンピュータをいかに保護するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失