テックブログ

2025.7.30

【ネットアシストニュースレター | Vol.50 】

SSL証明書認証方法について

2024年11月14日、CA/ブラウザフォーラムにより「ドメイン連絡先を取得するためのWHOISの使用とそれを利用したDCV方法の廃止」が採択され、2025年1月15日以降段階的に廃止されておりました。
弊社にSSL証明書の管理をご依頼いただいているお客様には、WHOIS記載のメールアドレスを利用した認証の終了について既にメールでご案内しておりますが、個別にお問合せを頂くことも多いため、今回はSSL証明書の認証方法について解説いたします！

CA/ブラウザフォーラム

電子証明書を使った通信の安全性を向上させるためのガイドラインを策定している会員制の組織。
策定されたガイドラインは事実上の標準となります。
もっとも信頼性の高いEV証明書は、CA/ブラウザフォーラムにより策定されたガイドラインに則る形で発行されています。

そもそもSSL証明書発行時の認証って何を確認しているの？

SSL証明書の発行を申請した際に、申請者がそのドメイン名の利用権を持っていることを確認しています。
これをドメイン認証と呼び、この認証のみで取得可能なSSL証明書がドメイン認証型（DV）SSLです。
ドメイン認証にはいくつかの方法があり、今回廃止になる「WHOIS記載のメールアドレスを利用した認証」もその1つでした。　
※SSL証明書の認証レベルにより、追加の認証が必要になるケースもございます（後述）

【SSL証明書認証方法】ドメイン認証（DV証明書）の場合

メール認証

　　　①WHOIS記載のメールアドレス　廃止済
　　　②ドメイン管理者のメールアドレス
　　　③TXTレコード記載のメールアドレス

ファイル認証

メール認証

SSL証明書の申請時に指定したメールアドレス宛に認証メールが送信され、認証メール内のURLからドメイン所有者が承認することでドメイン利用権の確認を行い、SSL証明書が発行される方法です。メールアドレスの指定方法により、以下の種類に分けられます。

①WHOIS記載のメールアドレスを指定（メール認証）　廃止済

ドメインの登録情報が公開されている「WHOIS」を利用して、ドメインの所有者であることを確認する認証方法です。

WHOIS

ドメインやIPアドレスの所有者と、関連する情報について誰でも観覧が可能なデータベースです。
ドメイン保有者の登録情報には名前、住所、メールアドレスなどの個人情報も含まれます。
そしてこのWHOISに記載されたメールアドレス宛に認証メールが送られていたのが、所謂「WHOIS認証」です。

現在は廃止されているため、後述する他の認証方法をご利用ください。

②ドメイン管理者のメールアドレスを指定（メール認証）

お申し込み時に選択いただいたメールアドレス宛に認証メールが送信されます。
自由にメールアドレスを選択できるわけではなく、認証局の規定する条件に当てはまるメールアドレスにしか送信できません。
ネットアシストを指定事業者とする認証局では、下記のアドレスが使用可能です

・admin@ドメイン名 or コモンネーム　　・administrator@ドメイン名 or コモンネーム
・hostmaster@ドメイン名 or コモンネーム　　・webmaster@ドメイン名 or コモンネーム
・postmaster@ドメイン名 or コモンネーム

例　コモンネーム「sub.example.com」でお申し込みいただいた場合
admin@　→　「admin@sub.example.com」「admin@example.com」が利用可能

③TXTレコード記載のメールアドレスを指定（メール認証）

認証するドメイン名のDNSに対して、メールアドレスを含む指定のTXTレコードを追加登録することで、そのメールアドレスに認証メールを送る方法です。
任意のメールアドレスを設定できるため、複数の認証を1つのメールアドレスに集約することが可能です。

例　「example.com」「netassist.ne.jp」でお申し込みいただいた場合（admin@）
・ドメイン管理者のメールアドレスを指定する場合
「admin@example.com」「admin@netassist.ne.jp」のアドレスが必要
・TXTレコード記載のメールアドレスを指定する場合
TXTレコードに「admin@netassist.ne.jp」を登録することで、「example.com」の認証メールも「admin@netassist.ne.jp」だけで対応可能

※TXTレコードには認証局から指示された内容を正確に記述する必要がございますので、詳細は各認証局のQ＆Aなどをご確認ください

ファイル認証

SSL証明書を設定するWebサイトに認証用のファイルをアップロードいただき、そのファイルを認証局のクローラーが確認することで、ドメイン名利用権の確認を行います。
メールサーバが存在しない場合や、メールアドレスの作成ができない場合でも可能な認証方法です。

それぞれのドメイン使用権確認方法について、主なメリット・デメリットは下記の通りです。

【SSL証明書認証方法】
企業認証（OV証明書）、EV認証（EV証明書）の場合

SSL証明書はドメイン認証（DV証明書）だけでなく、認証レベルにより企業認証（OV証明書）、EV認証（EV証明書）の3つに分けられます。

企業認証ではドメインの所有権に加えて、申請した企業・組織の実在性を確認します。
具体的な確認方法は、登記情報や帝国データバンクなど第三者機関データベースで確認した代表番号宛に認証局から電話がかかり、申込申請者の応答を確認することで認証が完了します。

もっとも認証レベルの高いEV認証では、法的・物理的に組織の実在性を確認することで、高い信頼性を発揮します。
この確認には登記簿謄本など認証局の指定する書類の提出が必要になります。

※各認証方式で、暗号強度などSSL証明書の機能に差異はありません。

各認証方法による違い

【まとめ】

SSL証明書にはいくつかの認証方法があり、認証レベルによって必要な情報も変わります。
ネットアシストでは認証局の指定事業者として、ドメイン認証～EV認証まで各種SSL証明書を取り扱っております。お客様ポータルより取得・更新の申請いただけますので、是非ご活用ください。

CloudflareがAI時代のクリエイター支援策を
リリース！

CDN（コンテンツデリバリーネットワークサービス）として世界的に有名な「Cloudflare」が昨今のAIの普及率の状況を受け、コンテンツクリエイターの権利保護と収益化を支援するための取り組みを発表いたしました。

“CDNやCloudflareの概要は2023年9月のニュースレターに取り上げています。”

Cloudflareによると、Googleの「AIによる概要」などの影響で、コンテンツクリエイターへのトラフィックが激減し、米OpenAIのサービスでは以前のGoogleと比較して750倍、米Anthropicでは3万倍もトラフィック獲得が困難になっているとのことです。

この状況を受けて、Cloudflareでは主に3つの取り組みを発表しました。

AIクローラーを全ブロックし「pay per crawl」を導入

基本的にAIを全ブロックして、Cloudflareのダッシュボードでアクセス単価を設定します（pay per crawl）。
AIエージェント側が報酬を払えばアクセス許可、払わなければブロックするという動きとなります。

「pay per crawl」では、ドメイン所有者がサイト全体で一律のリクエスト当たりの価格を定義し、「許可」「課金」「ブロック」の3つのオプションを選択できます。Cloudflareが仲介者として課金イベントを記録し、クローラーに料金を請求し、収益を契約者分配します。
この機能は現在ベータ版として利用可能です。

AIボットによるコンテンツ利用を制御するツール提供

Webサイトのrobots.txtファイルをCloudflareが自動で更新し、AIボットによるコンテンツ利用を簡単に制御できるようサポートします。
また、広告が表示されているホスト名のみでAIボットをブロックする新しいオプションもあります。

Verified Bots ProgramへのHTTP Message Signatures統合

ボット、エージェント、クローラーが暗号的に自身を識別するための方法として、「HTTP Message Signatures」を追加します。Cloudflareがエッジで自動的に署名を検証し、トラフィックを「Verified Bot」として識別することで、信頼できるボットトラフィックの識別精度を向上させることができます。

※引用：
https://www.itmedia.co.jp/news/articles/2507/02/news046.html
https://blog.cloudflare.com/introducing-pay-per-crawl/#introducing-pay-per-crawl

現時点では取り組み状況のデータなどの情報は得られておりませんが、Cloudflareの日本正規代理店である株式会社ドーモのパートナーとして、引き続き追加情報がありましたらお知らせいたします！
気になることがございましたら、お気軽に営業担当へお問合せください。