オープン、コラボレーション、
標準への準拠

ドメイン名利用権確認とは

ドメイン名利用権確認（ドメイン認証とも呼ばれる）は、パブリック認証局（CA）によって使用されるプロセスで、TLS/SSL 証明書をリクエストしている個人または組織が、証明書の発行の対象になっているドメインに対して利用権を有していることを確認します。これは、TLS/SSL 証明書の発行プロセスにおける基本的かつ不可欠なステップで、ドメインに対する正当な利用権を持つ個人または組織に対してのみ、そのドメインの証明書が発行されるようにするものです。

CA/B フォーラムは、申請者がドメインに対して所有権や利用権を持っているかどうかを検証するための CA/B フォーラムベースライン要件を規定しています。この要件では、電子メール、DNS レコード検証、HTTP/HTTPS 検証などのさまざまなテクノロジーを利用して、この検証を行うための各種アプローチを指定しています。

厳格なドメイン検証を実施することの重要性

ドメイン検証は、ドメインの正当な所有者を確認するための基本的なプロセスです。この検証プロセスに欠陥があると、悪意のある攻撃者に対して証明書を誤発行してしまうおそれがあり、攻撃者はこのような脆弱性を悪用して、詐欺、フィッシングや、マルウェアのキャンペーンを仕掛ける可能性があります。

このライブラリをコミュニティに公開して徹底的な評価と継続的な改善を受けることで、すべての認証局がドメイン検証プロセスにおいて高い品質を維持していくことが可能になります。

pkilint の特徴

デジサートの pkilint フレームワークはあらゆる証明書タイプに適応できるため、電子証明書フォーマットに適用される標準の各仕様のテストに利用できます。

pkilint は、大規模環境での証明書解析ツールの使用に関するデジサートの経験に基づき開発されました。pkilint フレームワークには、既存のアプローチよりも有利な点が複数あります。

• ASN.1 エンコーディングエラーを検出する非常に詳細なチェックが可能な実績ある ASN.1 パーサーに基づいて構築されています。
• さまざまな標準とトラストフレームワークに対する、さまざまなタイプの PKI 構成要素（証明書、CRL、OCSP レスポンスなど）のテストをサポートするように、ゼロから設計されています。
• リッチな検証ロジックは ASN.1 文書のすべてのフィールドを分析し、実行するテストセットを決定します。そのため、より高速で綿密なテストが可能になり、開発時間を短縮することができます。

デジサートは、pkilint の他に、S/MIME ベースライン要件で定義されたさまざまな証明書プロファイルに準拠したテスト証明書をユーザーが生成できる SMBR-Cert-Factory という OSS ツールの提供を最近開始しました。

関連資料